记一次清除ddos肉鸡的经历

其实这个事情发生在2014年10月份的时候，那个时候就想把经历写成博客来着，但是当时任务过多搁置了，当然也不排除我懒的原因吧！

最近也是因为在微云发现我当时保存的肉鸡样本，才想起现在来写点什么， 目前只能凭借依稀记忆和样本来写这篇博客啦。

样本如下：





好了begin 。。。

是这样的，公司内网有一题台服务器，一个星期到某个时段公司所有机器断网上不去网的情况， 正是那是我们公司是做wifi相关产品，

公司摆了很多路由器做测试，我们以为是设备信号干扰之类导致到家上不去网也就没有太大关注。

但是这种事情发生多了，而且还蛮有规律的，我就意识到是不是中了ddos肉鸡植入（因为自己之前写过肉鸡、主控对DDOS机制还比较了解）。

第一反应就是公司有台Linux服务器开了弱密码的SSH远程连接（内网花生壳映射出去的）， 当时是给做硬件开发者专门用来远程编译的路由器固件（openwrt）的ubuntu服务器。

登陆那台服务器用ifconfig命令查看网卡信息，果然eth0网卡流量走了几个T的（吓死宝宝了），这样就能确定是DDOS肉鸡了。

根据自己对DDOS的了解，DDOS一般都会修改/etc/crontab任务启动表用来定时启动肉鸡程序，打开如下：





这下有线索了， 查看scon.sh文件，纠结是怎么肉鸡启动的、以及肉鸡的位置。





由于内容太长， 中间省略一些。。。。





发现肉鸡对iptables修改如下：





通过以上脚本可以发现程序名和位置：

当时很高心算是找到肉鸡了。

用ps -ef|grep pstart, 确实也能看到进程是存在的。

当时处理的是：

1、rm /var/opt/lm -rf，把肉鸡删除。

2、把服务器ssh改成非22端口和密码用mkpasswd工具生成复杂密码。

3、清除/etc/crontab被肉鸡修改部分。

4、清空iptables规则， iptables -F 、 iptables -t nat -F。

5、杀掉肉鸡进程：pkill -9 pstart

当时特别高兴以为自己真的就这样把肉鸡干掉了。

但事情还没有完， 因为过了第二天又出现了，还是间歇性断网， 我重复上述操作发现发现流量还是几百G。

当时在想：

1、难道又是被注入了？不可能啊， 我的密码足够复杂啊，（用mkpass工具生成的）。

2、难道有残留肉鸡？

那应该是第二种可能了，应该是没有完全清除掉，其他地方肯定还有隐藏残留肉鸡再制作肉鸡的，那怎么查到残留的肉鸡呢？

步骤：

1、一般Linux启动项目， 一般会读取/etc下配置文件，来启动相关程序。

2、肉鸡程序名叫pstart，那么/etc下肯定存在相关制作pstart的脚本或者程序。

3、当时/etc下面那么多文件， 怎么找呢，一个一个打开查找吗？当然不可能的。

4、由于使用的也是Linux，平时经常会在代码结构下通过find、grep查询关键词，对查找命令已经非常熟悉了， 哈哈。

5、执行命令： find /etc/ -type f| xargs grep “pstart”， 检索到关于pstart相关的脚本：





后面还有一部分部分，考虑到比较敏感就省略吧。。。。

如上，原来在/etc/profile.d/iislog里面还有一段脚本， 就是用来恢复肉鸡的脚本。通过如上不难发现肉鸡的真实位置了：/bin/.iptab{1-2}。

好了， 现在要做的工作就是：

1、删除原始肉鸡：iislog、/bin/.iptab{1-2}以及/var/opt/lm了。

2、重复第一次删除运行的肉鸡pstart。

3、重启服务器。

========== END==========