免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 中木马了,如何查找创建木马进程的木马程序
最近访问板块 发新帖
查看: 2140 | 回复: 9
打印 上一主题 下一主题

[系统安全] 中木马了,如何查找创建木马进程的木马程序 [复制链接]

hk_sean

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2016-05-10 15:13 |只看该作者 |倒序浏览
背景:最近放在公网上的服务器中了木马。木马的作用是往另一个公网服务器发送大量的SYN报文。所以这个木马就是把我的服务器当肉鸡了,往别的机器发syn flood攻击。
目标:想找到创建木马进程的后台木马,然后删除。


木马详情:
木马程序是:
/usr/bin/bblvynuohi
木马程序名是随机的,删除后,会自动再创建的。
还有一个副本:
/lib/libudev.so
libudev.so和bblvynuohi用ls -l看,大小一样大。

通过netstat -napt命令看:
tcp        0     52 192.168.1.106:22            192.168.1.5:49311           ESTABLISHED 22631/sshd         
tcp        0      1 192.168.1.106:56534         51.255.66.195:22            SYN_SENT    21487/grep "A"      

第二条连接就是木马建立的连接,因为我开了防火墙规则,所以这条连接始终创建不成功,始终是循环建连接的状态。
通过ls -al  /proc/21487/exe这个命令看,创建这个连接的就是/usr/bin/bblvynuohi。

还有一处木马创建的文件:/etc/cron.hourly/gcc.sh,文件内容是:
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

通过下列命令,将这4处一起杀掉,很快这4处又生成了新的文件和进程。
kill -9 21487 ;   rm -rf  /lib/libudev.so    /usr/bin/bblvynuohi     /etc/cron.hourly/gcc.sh;


目前我做的是通过iptables将木马往外发的syn包都给丢掉了,并将新建木马进程时所创建的网络连接也阻断了。但创建木马进程的后台木马一直没找到。请问该如何查找后台的木马程序。

木马
lyhabc

求职 : Linux运维
论坛徽章:
203
拜羊年徽章 日期:2015-03-03 16:15:432015年辞旧岁徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:57:092015小元宵徽章 日期:2015-03-06 15:58:182015年亚洲杯之约旦 日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚 日期:2015-04-09 09:25:552015年亚洲杯之约旦 日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦 日期:2015-04-10 17:35:342015年亚洲杯之日本 日期:2015-04-16 16:28:552015年亚洲杯纪念徽章 日期:2015-04-27 23:29:17操作系统版块每日发帖之星 日期:2015-06-06 22:20:00操作系统版块每日发帖之星 日期:2015-06-09 22:20:00
2 [报告]
发表于 2016-05-10 23:24 |只看该作者
如何在centos上安装和使用 Rkhunter [复制链接]
--http://bbs.chinaunix.net/forum.p ... =4233719&extra=
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
csoho2000

论坛徽章:
45
2016猴年福章徽章 日期:2016-02-18 16:42:24平安夜徽章 日期:2015-12-27 09:46:0315-16赛季CBA联赛之八一 日期:2015-12-15 17:08:23黄金圣斗士 日期:2015-12-11 09:16:31天蝎座 日期:2015-12-11 09:16:22戌狗 日期:2015-12-11 09:16:19程序设计版块每周发帖之星 日期:2015-12-11 09:15:21操作系统版块每周发帖之星 日期:2015-12-11 09:15:16IT运维版块每周发帖之星 日期:2015-12-11 09:15:09IT运维版块每月发帖之星 日期:2015-12-11 09:15:01CU十四周年纪念徽章 日期:2015-12-11 09:14:40操作系统版块每日发帖之星 日期:2015-12-11 09:13:36
3 [报告]
发表于 2016-05-11 10:06 |只看该作者
ps axjf   根据ppid和pid 查找进程对应的父进程

不知道行不行
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
jixuuse

论坛徽章:
41
操作系统版块每日发帖之星 日期:2016-08-21 06:20:00每日论坛发贴之星 日期:2016-05-05 06:20:00操作系统版块每日发帖之星 日期:2016-05-05 06:20:00IT运维版块每日发帖之星 日期:2016-05-05 06:20:0015-16赛季CBA联赛之山西 日期:2016-04-27 08:49:00操作系统版块每日发帖之星 日期:2016-04-25 06:20:00操作系统版块每日发帖之星 日期:2016-04-17 06:23:2815-16赛季CBA联赛之吉林 日期:2016-03-25 15:46:3415-16赛季CBA联赛之四川 日期:2016-03-25 14:26:19操作系统版块每日发帖之星 日期:2016-05-27 06:20:00操作系统版块每日发帖之星 日期:2016-05-28 06:20:00IT运维版块每日发帖之星 日期:2016-08-18 06:20:00
4 [报告]
发表于 2016-05-11 12:29 |只看该作者
也许ps、cd、ls都被人家替换掉了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
hk_sean

论坛徽章:
0
5 [报告]
发表于 2016-05-11 16:49 |只看该作者
回复 2# lyhabc


    之前装过rkhunter,但没看出问题。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
hk_sean

论坛徽章:
0
6 [报告]
发表于 2016-05-11 16:51 |只看该作者
csoho2000 发表于 2016-05-11 10:06
ps axjf   根据ppid和pid 查找进程对应的父进程

不知道行不行



当前父进程是1,查不到创建时的父进程是谁。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lyhabc

求职 : Linux运维
论坛徽章:
203
拜羊年徽章 日期:2015-03-03 16:15:432015年辞旧岁徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:57:092015小元宵徽章 日期:2015-03-06 15:58:182015年亚洲杯之约旦 日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚 日期:2015-04-09 09:25:552015年亚洲杯之约旦 日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦 日期:2015-04-10 17:35:342015年亚洲杯之日本 日期:2015-04-16 16:28:552015年亚洲杯纪念徽章 日期:2015-04-27 23:29:17操作系统版块每日发帖之星 日期:2015-06-06 22:20:00操作系统版块每日发帖之星 日期:2015-06-09 22:20:00
7 [报告]
发表于 2016-05-11 20:07 |只看该作者
那不清楚了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xiaoyun222

论坛徽章:
4
CU大牛徽章 日期:2013-03-13 15:29:07CU大牛徽章 日期:2013-03-13 15:29:49CU大牛徽章 日期:2013-03-13 15:30:19处女座 日期:2014-03-04 14:36:58
8 [报告]
发表于 2016-05-12 17:24 |只看该作者
楼主,发现我都中了同样的木马了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
koalacba

论坛徽章:
0
9 [报告]
发表于 2016-05-13 09:45 |只看该作者
首先. 可以先检查启动项/etc/rc.d/rc.local 以及计划任务
然后 ll -t /etc/init.d/ 看看最近发生修改时间的服务。
另外,需找被篡改的命令 。
正常如果服务器有做一下日志审计,也可以看看有没有什么相关的操作信息

一般经验来看,ps netstat lsof  等等一些常用的命令如果修改时间跟其他普通文件不太一样。就很有可能被篡改了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
action08

论坛徽章:
224
2022北京冬奥会纪念版徽章 日期:2015-08-10 16:30:32操作系统版块每日发帖之星 日期:2016-02-18 06:20:00操作系统版块每日发帖之星 日期:2016-03-01 06:20:00操作系统版块每日发帖之星 日期:2016-03-02 06:20:0015-16赛季CBA联赛之上海 日期:2019-09-20 12:29:3219周年集字徽章-周 日期:2019-10-01 20:47:4815-16赛季CBA联赛之八一 日期:2020-10-23 18:30:5320周年集字徽章-20 日期:2020-10-28 14:14:2615-16赛季CBA联赛之广夏 日期:2023-02-25 16:26:26CU十四周年纪念徽章 日期:2023-04-13 12:23:1015-16赛季CBA联赛之四川 日期:2023-07-25 16:53:45操作系统版块每日发帖之星 日期:2016-05-10 19:22:58
10 [报告]
发表于 2016-05-19 18:42 |只看该作者
回复 9# koalacba


    rc只是一种很初级的命令,你看肯定什么都没有


shell@localhost:~$ cat /etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

exit 0
shell@localhost:~$
shell@localhost:~$
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP