安全事件應急響應 | Linux系統BillGates botnet component查殺
*本文作者:橙子xx001,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
前言
BillGates惡意軟體針對執行中的linux伺服器,其主要目的是感染伺服器,將它們連線在一個通過中央 C & C伺服器控制的殭屍網路中,指示機器人在目標上發起 DDoS 攻擊。根據 Akamai 的安全情報研究小組 (SIRT),目前黑客的裝備已從比較舊的XOR DDoS 殭屍網路裝備已經切換到 BillGates 殭屍網路。
安全事件分析及處置
第一次做linux系統的應急響應事件,找到之前收藏的一篇黑客入侵應急排查文章,收益頗多。此次事件是伺服器攻擊外網別的主機,很有可能是中病毒了。(參考連結為: ofollow" rel="nofollow,noindex" target="_blank">https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin 。)
1、檢視防火牆
首先查看了防火牆上面的日誌,發現大量的日誌報警資訊,均是CPU使用率過高。
和已知情況差不多,伺服器和外地一主機進行大量的會話連線,應該是伺服器被當作肉雞對外網別的機器進行攻擊。
2、檢視伺服器
登入上伺服器,檢視網路相關情況,發現該伺服器對外發包68.4TB資料,流量之大讓人有些驚訝。
檢視程序的詳細資訊,發現有一個程序佔cpu資源非常多,如下圖所示。初步判斷這是病毒的相關程序,對libstdc程序進行處理,先強制停止該程序,命令為 killall-9 libstdc ,意為關閉所有名為libstdc的程序,也可後面跟對應的pid號。
找到病毒的所在位置使用find命令,在所有目錄下查詢 find / -namelibstdc ,然後刪除相關的程式(綠色代表可執行檔案)。
使用 rm –rf 進行刪除操作,然而提示沒有足夠許可權。使用 lisattr 命令發現該程式被賦了i許可權(檔案不可更改),然後用 chattr –i 來去除這個屬性就可以順利刪除了。刪除後不可掉以輕心,病毒很容易再生,所以防止它再生應立刻給該目錄賦予i許可權,使用 chattr +i 命令。
3、檢視任務計劃
查看了任務計劃,未發現存在libstdc相關計劃任務。
4、檢視ssh配置檔案
查看了sshd_config檔案,不存在信任的木馬檔案 。
5、檢視歷史命令
只使用了cd、ls、cat等命令,未發現異常,應該是被黑客抹去了。
6、檢查其他後門及病毒
安裝rkhunter程式,掃描rootkit檔案,使用wget命令,不是預設有的,需要自己安裝。
掃描結果如下圖所示,發現了BillGates botnet component(比爾蓋茨殭屍網路元件)。
去掃描日誌/var/log/rkhunter.log中檢視可疑檔案。找到一些木馬後門病毒等,還有木馬的啟動程式(應該是比爾蓋茨殭屍網路的相關元件)。
/tmp/gates.lod /tmp/moni.lod /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/getty.lock /etc/init.d/DbSecuritySpt /etc/rc.d/init.d/DbSecuritySpt /etc/rc1.d/seclinux
將上面的檔案一一刪除,刪除完以後一定記得要禁止系統服務目錄的寫入許可權:
其中的moni.lod這個可執行檔案怎麼刪除都刪不掉,後來採取更改許可權來解決,讓它無法執行。使用命令為 chmod –R 000 moni.lod 。
刪除相關檔案後,進行復掃,復掃結果表明,billgates botnet component已消失。
最後在伺服器上,安裝了防毒軟體clmava,安裝命令為 yum -y installepel-release ,將主要目錄都掃描一遍如/bin、/usr、/etc、/dev、/tmp等。(參考連結:
https://blog.csdn.net/liumiaocn/article/details/76577867 。)
總結
剛開始刪除病毒的時候忽略了病毒的再生性,當以為刪除完了重啟機器後發現病毒又存在了,並且又佔了cpu的使用率使得機器很卡。後來查看了多篇文章,看到了禁止系統服務目錄的寫入許可權的辦法,之後又重新刪除一遍病毒以及後門檔案。再次重啟就一一檢視相關目錄,相關病毒檔案就不存在了。刪除完病毒後,別忘記更改系統密碼。檢視伺服器時,看到很多登入失敗的資訊以及有幾個成功登入的資訊。刪除不掉的檔案,有個笨辦法就是把檔案的許可權改為000,這樣就算是病毒它也無法執行。希望此篇文章能夠幫助到像我一樣的小白們少走些彎路。
*本文作者:橙子xx001,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。