• P8OS网站环境
  • 清平云技术交流
  • 代码市场
p8os.com


如果你电脑中盖茨木马不要怕


本文标签: 攻击防护 cc攻击 cc攻击防护 服务器安全 服务器被攻击 病毒 木马 网站防护

如果你电脑中盖茨木马不要怕,

盖茨木马

0x00 前言

linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。

0x01 应急场景

某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽:

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

0x02 事件分析

异常IP连接:

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

异常进程:

查看进行发现ps aux进程异常,进入该目录发现多个命令,猜测命令可能已被替换

登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

异常启动项

进入rc3.d目录可以发现多个异常进行:

/etc/rc.d/rc3.d/S97DbSecuritySpt

/etc/rc.d/rc3.d/S99selinux

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 


如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

搜索病毒原体

find / -size -1223124c -size +1223122c -exec ls -id {} \; 搜索1223123大小的文件

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见:

Linux平台“盖茨木马”分析

http://www.freebuf.com/articles/system/117823.html

悬镜服务器卫士丨Linux平台“盖茨木马”分析

http://www.sohu.com/a/117926079_515168

手动清除木马过程:

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

0x03 命令替换

RPM check检查:

命令替换:

文件提取还原案例:

如果你电脑中了这样的木马不要怕,跟着二胖把他找出来

 

2020-08-20 00:48:48