码迷,mamicode.com
首页 > 其他好文 > 详细

抓鸡直播截图(南非蚂蚁巨作)

时间:2016-03-18 18:07:21      阅读:226      评论:0      收藏:0      [点我收藏+]

标签:程序   加壳   执行文件   登录系统   开发 抓鸡   


首先登录系统,通过top命令检查系统整体情况

技术分享

发现第一个进程占用很大cpu资源,肯定有问题

从文件名看出,这不像是一个正常的系统进程

过进程id判断出执行文件的位置,操作如下:

技术分享


进一步查看/usr/bin下的文件信息

技术分享

看第一个文件,非常异常,主要看文件属性


继续通过ps命令查看系统进程,发现

技术分享

看加壳程序

/usr/bin/dpkgd/ps -ef

技术分享

看到了吗,这些都是加壳伪装的命令

ps命令看到的其实已经是假象了

然后在看看crontab是否有守护进程信息

技术分享

发现有异样,看那个kill.sh进程,每3分钟执行一次

询问后得知这个不是人为设置的守护进程

技术分享

抓内容看看:


技术分享



看到内容了吗,大家应该能看懂


一个简单的shell

抓网卡,然后设置up状态,所以即使你down了网卡,他也能自动启动

续看看dmesg信息


技术分享

这是内核队列过大,肉鸡发包导致连接队列沾满爆出的信息


一个开发机器,不可能有这么大流量的

基本信息就是这样


那么下来就开始杀这些木马了

先rm .sshd文件

然后

技术分享

接着删除这个加壳目录下面的东西


技术分享

我这里暂时没删除,更改了路径

这样操作后,发现ps命令不能用了

不要紧,难不倒我们

重新安装ps命令即可,通过yum


怎么查ps是哪个包,基础命令很重要

技术分享


好了,安装完成了,再次ps -ef

发现不一样了,跟之前显示进程的方式不一样了,因为现在的才是真的系统状态


 先kill掉这个pid,然后删除之前crontab里面的kill.sh文件

技术分享技术分享

看来kill方法不行,有守护进程,只要进程被关闭,就自动重启了
【博士】南非蚂 2016/3/18 15:02:30

那么我来个这样的命令
【博士】南非蚂 2016/3/18 15:02:45

kill -STOP 4440
【博士】南非蚂 2016/3/18 15:03:21

是不是不再出来了
【博士】南非蚂 2016/3/18 15:03:28

然后继续观察这个脚本
【博士】南非蚂 2016/3/18 15:03:30

技术分享技术分享【博士】南非蚂 2016/3/18 15:03:56

其实罪魁祸首在这里cp /lib/libkill.so /lib/libkill.so.6




 【博士】南非蚂 2016/3/18 15:05:08

技术分享现在世界清静了技术分享【博士】南非蚂 2016/3/18 15:05:16

但是问题还远远没有结束


 【博士】南非蚂 2016/3/18 15:06:59

下面开始做收尾工作,清除后门

 【博士】南非蚂 2016/3/18 15:09:59

先通过chartt +i 锁定下/etc/crontab文件

 【博士】南非蚂 2016/3/18 15:11:06

接着查找最近生成的可疑文件,然后删除之

技术分享

 【博士】南非蚂 2016/3/18 15:11:20

注意这个命令的用法
【博士】南非蚂 2016/3/18 15:11:31

通过输出可以看到那些是可疑进程

 【博士】南非蚂 2016/3/18 15:12:56

在删除的过程中发现一个很有意思的问题

技术分享


 【博士】南非蚂蚁
看看这个指向到了那里
15:15:23
【博士】南非蚂 2016/3/18 15:15:23

很明显,这些文件和指向的文件都一并删除
【博士】南非蚂 2016/3/18 15:17:18

当然,这个也不能留

技术分享

 【博士】南非蚂 2016/3/18 15:17:23


技术分享

 【博士】南非蚂 2016/3/18 15:22:25

/usr/bin下面绝对不能放过可疑文件
【博士】南非蚂 2016/3/18 15:22:31

查找最新文件即可
【博士】南非蚂 2016/3/18 15:23:51

所哟可以文件删除完成,执行最后一个命令
【博士】南非蚂 2016/3/18 15:23:58

kill -9 4440
【博士】南非蚂 2016/3/18 15:24:11

刚才最后的一个木马文件

技术分享

 【博士】南非蚂 2016/3/18 15:26:12

现在在看看是否还会产生新的文件呢,在 

技术分享

 【博士】南非蚂 2016/3/18 15:26:29

它回不来了

技术分享技术分享

技术分享


本文出自 “江湖笑笑生” 博客,请务必保留此出处http://hashlinux.blog.51cto.com/9647696/1752589

抓鸡直播截图(南非蚂蚁巨作)

标签:程序   加壳   执行文件   登录系统   开发 抓鸡   

原文地址:http://hashlinux.blog.51cto.com/9647696/1752589

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!