盖茨木马
0x00 前言
linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装 。木马得名于其在变量函数的命名中,大量使用Gates这个单词 。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方 。
0x01 应急场景
某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽:
文章插图
0x02 事件分析
异常IP连接:
文章插图
异常进程:
查看进行发现ps aux进程异常,进入该目录发现多个命令,猜测命令可能已被替换
登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :
文章插图
异常启动项
进入rc3.d目录可以发现多个异常进行:
/etc/rc.d/rc3.d/S97DbSecuritySpt
【如果你电脑中盖茨木马不要怕】/etc/rc.d/rc3.d/S99selinux
文章插图
文章插图
搜索病毒原体
find / -size -1223124c -size +1223122c -exec ls -id {} ; 搜索1223123大小的文件
文章插图
从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见:
Linux平台“盖茨木马”分析手动清除木马过程:
http://www.freebuf.com/articles/system/117823.html
悬镜服务器卫士丨Linux平台“盖茨木马”分析
http://www.sohu.com/a/117926079_515168
文章插图
0x03 命令替换
RPM check检查:
命令替换:
文件提取还原案例:
文章插图
推荐阅读
- 铂金适合做婚戒吗?为什么?
- 海水如果变成淡水地球会怎样 地球上的水到空气中后,有时会形成
- 男性生殖器官出血是怎么回事?
- 如果地球上只剩下两男一女 如果地球上只剩下一男一女
- 如果朱标不死蓝玉会死吗 如果朱元璋不杀蓝玉朱棣会反吗
- 如果人被吸入黑洞会发生什么! 人类进入黑洞会发生什么
- 蓝牙耳机一个响一个不响怎么办安卓 蓝牙耳机一个响一个不响怎么办
- 如果遇到“空白劳动合同”,该怎么应对?
- 在Windows上使用命令行测网速
- 如果每天晚上走路一小时能减肥吗?