安全事件应急响应 | Linux系统BillGates botnet component查杀

栏目: 编程工具 · 发布时间: 6年前

内容简介:BillGates恶意软件针对运行中的linux服务器,其主要目的是感染服务器,将它们连接在一个通过中央 C & C服务器控制的僵尸网络中,指示机器人在目标上发起 DDoS 攻击。根据 Akamai 的安全情报研究小组 (SIRT),目前黑客的装备已从比较旧的XOR DDoS 僵尸网络装备已经切换到 BillGates 僵尸网路。第一次做linux系统的应急响应事件,找到之前收藏的一篇黑客入侵应急排查文章,收益颇多。此次事件是服务器攻击外网别的主机,很有可能是中病毒了。(参考链接为:

*本文作者:橙子xx001,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

BillGates恶意软件针对运行中的 linux 服务器,其主要目的是感染服务器,将它们连接在一个通过中央 C & C服务器控制的僵尸网络中,指示机器人在目标上发起 DDoS 攻击。根据 Akamai 的安全情报研究小组 (SIRT),目前黑客的装备已从比较旧的XOR DDoS 僵尸网络装备已经切换到 BillGates 僵尸网路。

安全事件分析及处置

第一次做linux系统的应急响应事件,找到之前收藏的一篇黑客入侵应急排查文章,收益颇多。此次事件是服务器攻击外网别的主机,很有可能是中病毒了。(参考链接为: https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin 。)

1、查看防火墙

首先查看了防火墙上面的日志,发现大量的日志报警信息,均是CPU使用率过高。

安全事件应急响应 | Linux系统BillGates botnet component查杀

和已知情况差不多,服务器和外地一主机进行大量的会话连接,应该是服务器被当作肉鸡对外网别的机器进行攻击。

2、查看服务器

登录上服务器,查看网络相关情况,发现该服务器对外发包68.4TB数据,流量之大让人有些惊讶。

安全事件应急响应 | Linux系统BillGates botnet component查杀

查看进程的详细信息,发现有一个进程占cpu资源非常多,如下图所示。初步判断这是病毒的相关进程,对libstdc进程进行处理,先强制停止该进程,命令为 killall-9 libstdc ,意为关闭所有名为libstdc的进程,也可后面跟对应的pid号。

安全事件应急响应 | Linux系统BillGates botnet component查杀

找到病毒的所在位置使用find命令,在所有目录下查找 find / -namelibstdc ,然后删除相关的程序(绿色代表可执行文件)。

安全事件应急响应 | Linux系统BillGates botnet component查杀

使用 rm –rf 进行删除操作,然而提示没有足够权限。使用 lisattr 命令发现该程序被赋了i权限(文件不可更改),然后用 chattr –i 来去除这个属性就可以顺利删除了。删除后不可掉以轻心,病毒很容易再生,所以防止它再生应立刻给该目录赋予i权限,使用 chattr +i 命令。

安全事件应急响应 | Linux系统BillGates botnet component查杀

3、查看任务计划

查看了任务计划,未发现存在libstdc相关计划任务。

4、查看ssh配置文件

安全事件应急响应 | Linux系统BillGates botnet component查杀

查看了sshd_config文件,不存在信任的木马文件 。

5、查看历史命令

只使用了cd、ls、cat等命令,未发现异常,应该是被黑客抹去了。

6、检查其他后门及病毒

安装rkhunter程序,扫描rootkit文件,使用wget命令,不是默认有的,需要自己安装。

安全事件应急响应 | Linux系统BillGates botnet component查杀

扫描结果如下图所示,发现了BillGates botnet component(比尔盖茨僵尸网络组件)。

安全事件应急响应 | Linux系统BillGates botnet component查杀

去扫描日志/var/log/rkhunter.log中查看可疑文件。找到一些木马后门病毒等,还有木马的启动程序(应该是比尔盖茨僵尸网络的相关组件)。

/tmp/gates.lod
/tmp/moni.lod
/usr/bin/.sshd
/usr/bin/bsd-port/getty
/usr/bin/bsd-port/getty.lock
/etc/init.d/DbSecuritySpt
/etc/rc.d/init.d/DbSecuritySpt
/etc/rc1.d/seclinux

将上面的文件一一删除,删除完以后一定记得要禁止系统服务目录的写入权限:

安全事件应急响应 | Linux系统BillGates botnet component查杀

其中的moni.lod这个可执行文件怎么删除都删不掉,后来采取更改权限来解决,让它无法执行。使用命令为 chmod –R 000 moni.lod

安全事件应急响应 | Linux系统BillGates botnet component查杀

删除相关文件后,进行复扫,复扫结果表明,billgates botnet component已消失。

最后在服务器上,安装了杀毒软件clmava,安装命令为 yum -y installepel-release ,将主要目录都扫描一遍如/bin、/usr、/etc、/dev、/tmp等。(参考链接:

https://blog.csdn.net/liumiaocn/article/details/76577867 。)

安全事件应急响应 | Linux系统BillGates botnet component查杀

总结

刚开始删除病毒的时候忽略了病毒的再生性,当以为删除完了重启机器后发现病毒又存在了,并且又占了cpu的使用率使得机器很卡。后来查看了多篇文章,看到了禁止系统服务目录的写入权限的办法,之后又重新删除一遍病毒以及后门文件。再次重启就一一查看相关目录,相关病毒文件就不存在了。删除完病毒后,别忘记更改系统密码。查看服务器时,看到很多登录失败的信息以及有几个成功登录的信息。删除不掉的文件,有个笨办法就是把文件的权限改为000,这样就算是病毒它也无法执行。希望此篇文章能够帮助到像我一样的小白们少走些弯路。

*本文作者:橙子xx001,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


以上所述就是小编给大家介绍的《安全事件应急响应 | Linux系统BillGates botnet component查杀》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript高级程序设计(第3版)

JavaScript高级程序设计(第3版)

[美] Nicholas C. Zakas / 李松峰、曹力 / 人民邮电出版社 / 2012-3-29 / 99.00元

本书是JavaScript 超级畅销书的最新版。ECMAScript 5 和HTML5 在标准之争中双双胜出,使大量专有实现和客户端扩展正式进入规范,同时也为JavaScript 增添了很多适应未来发展的新特性。本书这一版除增加5 章全新内容外,其他章节也有较大幅度的增补和修订,新内容篇幅约占三分之一。全书从JavaScript 语言实现的各个组成部分——语言核心、DOM、BOM、事件模型讲起,深......一起来看看 《JavaScript高级程序设计(第3版)》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换