码迷,mamicode.com
首页 > 系统相关 > 详细

记一次linux系统中马后的处理(RHEL6.3、木马:Linux.BackDoor.Gates.5)

时间:2014-12-03 19:35:16      阅读:175      评论:0      收藏:0      [点我收藏+]

标签:linux   入侵   中马   

中马表现症状:机器拼命向外发包,耗尽网络流量。 

 bubuko.com,布布扣


于是查看网络连接使用netstat -antuple(这里第一步就错了,因为木马已经替换了些系统命令,包括netstat,请原谅我年幼无知) 

bubuko.com,布布扣

有个222开头来自江苏的IP已经建立了连接

这时可以临时救急,用iptables将来自和发往该IP的数据包DROP掉,

iptables -I INPUT -s 222.186.30.203 -j DROP

iptables -I OUTPUT -d 222.186.30.203 -j DROP

接着service iptables save保存

 

接着再查看进程,ps aux 

bubuko.com,布布扣

果断杀掉!用 kill -9 进程号,接着rm -rf删掉文件,杀掉进程用ps 命令再查看,进程又重启了,而且木马文件也自己再生了。

 

这时果断向我认识的大神渊总求教,渊总说用chkrookitrkhunter查看下是不是被替换了系统命令,于是果断用chkrookit 果然,提示已经中了木马。

 bubuko.com,布布扣


再查看ps命令 创建日期很奇怪,而且和netstat的大小一致。。。

bubuko.com,布布扣

果然被替换了系统命令!

 

find命令查找ps和netstat,在/usr/bin/dpkgd目录下发现被替换的原系统命令文件

 bubuko.com,布布扣

看了下时间,1130日凌晨343分创建,果然是被黑了。bubuko.com,布布扣

 

这时我注意到这些木马文件的大小都是1135000字节,于是用以下命令从根找出大小为1135000字节的木马后门程序

# find / -size 1135000c

 bubuko.com,布布扣

找到7个,和chkrookit提示的一样,根据文件名查找进程,kill掉后全部删除,把/usr/bin/dpkgd下的原系统命令文件移动回原来的目录。

 

这时再用原来的系统的psnetstat命令已看不到木马进程和可疑网络连接了。

 

到这里就结束了吗?不,我接着在网上搜索这木马的信息,给找到了。

木马为:Linux.BackDoor.Gates.5

表现症状:向外疯狂发包,造成网络瘫痪,伪装系统服务。

 

http://blog.csdn.net/liukeforever/article/details/38560363

http://bbs.appstar.com.cn/thread-10205-1-1.html

 

根据以上两个链接,我在/etc/init.d/目录下发现木马伪装的系统服务DbSecuritySptselinux

果然rm -rf,木马还在/etc/下的rc1.drc2.drc3.drc4.drc5.d 建立了一个指向init.d目录下的selinux,DbSecuritySpt链接。

 

打开selinux,DbSecuritySpt 就是运行木马文件!

 bubuko.com,布布扣

bubuko.com,布布扣


 

好了,到这里算差不多了。

 

总结:

1、如果可以直接重装系统

2、......


记一次linux系统中马后的处理(RHEL6.3、木马:Linux.BackDoor.Gates.5)

标签:linux   入侵   中马   

原文地址:http://chenxingxing.blog.51cto.com/1956687/1586000

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!