安全事件应急响应 | Linux系统BillGates botnet component查杀

去扫描日志/var/log/rkhunter.log中查看可疑文件

媒介

BillGates恶意软件针对运行中的linux办事器,其主要目的是感染办事器,将它们连接在一个经由过程中央 C & C办事器节制的僵尸收集中,唆使机械人在目标上提议 DDoS 进击根据 Akamai 的安然情报钻研小组 (SIRT),今朝黑客的设置设备摆设已从对还是的XOR DDoS 僵尸收集设置设备摆设已经切换到 BillGates 僵尸网路

安然事故阐发及处置

第一次做linux系统的应急相应事故,找到之前收藏的一篇黑客入侵应急排查文章,收益颇多这次事故是办事器进击外网其余主机,很有可能是中病毒了(参考链接为:https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin)

1、查看防火墙

首先查看了防火墙上面的日志,发明大年夜量的日志报警信息,均是CPU应用率过高

和已知环境差不多,办事器和外埠一主机进行大年夜量的会话连接,应该是办事器被算作肉鸡对外网其余机械进行进击

2、查看办事器

登录上办事器,查看收集相关环境,发明该办事器对外发包68.4TB数据,流量之大年夜让人有些惊疑

查看进程的具体信息,发明有一个进程占cpu资本异常多,如下图所示初步判断这是病毒的相关进程,对libstdc进程进行处置惩罚,先强制竣事该进程,敕令为killall-9 libstdc,意为关闭所着名为libstdc的进程,也可后面跟对应的pid号

找到病毒的所在位置应用find敕令,在所有目录下查找find / -namelibstdc,然后删除相关的法度榜样(绿色代表可履行文件)

应用rm –rf进行删除操作,然而提示没有足够权限应用lisattr敕令发明该法度榜样被赋了i权限(文件弗成变动),然后用chattr –i往来交往除这个属性就可以顺利删除了删除后弗成掉落以轻心,病毒很轻易再生,以是防止它再生应立即给该目录付与i权限,应用chattr +i敕令

3、查看义务计划

查看了义务计划,未发明存在libstdc相关计划义务

4、查看ssh设置设置设备摆设摆设文件

查看了sshd_config文件,不存在相信的木马文件

5、查看历史敕令

只应用了cd、ls、cat等敕令,未发明非常,应该是被黑客抹去了

6、反省其他后门及病毒

安装rkhunter法度榜样,扫描rootkit文件,应用wget敕令,不是默认有的,必要自己安装

扫描结果如下图所示,发清楚明了BillGates botnet component(比尔盖茨僵尸收集组件)找到一些木马后门病毒等,还有木马的启动法度榜样(应该是比尔盖茨僵尸收集的相关组件)

/tmp/gates.lod

/tmp/moni.lod

/usr/bin/.sshd

/usr/bin/bsd-port/getty

/usr/bin/bsd-port/getty.lock

/etc/init.d/DbSecuritySpt

/etc/rc.d/init.d/DbSecuritySpt

/etc/rc1.d/seclinux

将上面的文件逐一删除,删除完今后必然记得要禁止系统办事目录的写入权限:

此中的moni.lod这个可履行文件怎么删除都删不掉落,后来采取变动权限来办理,让它无法履行应用敕令为chmod –R 000 moni.lod

删除相关文件后,进行复扫,复扫结果注解,billgates botnet component已消掉

着末在办事器上,安装了杀毒软件clmava,安装敕令为yum -y installepel-release,将主要目录都扫描一遍如/bin、/usr、/etc、/dev、/tmp等(参考链接:

https://blog.csdn.net/liumiaocn/Article/details/76577867)

总结

刚开始删除病毒的时刻轻忽了病毒的再生性,当以为删除完了重启机械后发明病毒又存在了,并且又占了cpu的应用率使得机械很卡后来查看了多篇文章,看到了禁止系统办事目录的写入权限的法子,之后又从新删除一遍病毒以及后门文件再次重启就逐一查看相关目录,相关病毒文件就不存在了删除完病毒后,别忘怀变动系统密码查看办事器时,看到很多登录掉败的信息以及有几个成功登录的信息删除不掉落的文件,有个笨法子便是把文件的权限改为000,这样就算是病毒它也无法履行盼望此篇文章能够赞助到像我一样的小白们少走些弯路

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包