国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一、背景

    晚上看到有臺(tái)服務(wù)器流量跑的很高，明顯和平常不一樣，流量達(dá)到了800Mbps，第一感覺(jué)應(yīng)該是中木馬了，被人當(dāng)做肉雞了，在大量發(fā)包。

    我們的服務(wù)器為了最好性能，防火墻（iptables）什么的都沒(méi)有開(kāi)啟，但是服務(wù)器前面有物理防火墻，而且機(jī)器都是做的端口映射，也不是常見(jiàn)的端口，按理來(lái)說(shuō)應(yīng)該是滿(mǎn)安全的，可能最近和木馬有緣吧，老是讓我遇到，也趁這次機(jī)會(huì)把發(fā)現(xiàn)過(guò)程記錄一下。

二、發(fā)現(xiàn)并追蹤處理

1、查看流量圖發(fā)現(xiàn)問(wèn)題

    查看的時(shí)候網(wǎng)頁(yè)非?？ǎ械臅r(shí)候甚至沒(méi)有響應(yīng)。

2、top動(dòng)態(tài)查看進(jìn)程

    我馬上遠(yuǎn)程登錄出問(wèn)題的服務(wù)器，遠(yuǎn)程操作很卡，網(wǎng)卡出去的流量非常大，通過(guò)top發(fā)現(xiàn)了一個(gè)異常的進(jìn)程占用資源比較高，名字不仔細(xì)看還真以為是一個(gè)Web服務(wù)進(jìn)程。

3、ps命令查看進(jìn)程的路徑

     發(fā)現(xiàn)這個(gè)程序文件在/etc目錄下面，是個(gè)二進(jìn)制程序，我拷貝了下來(lái)，放到了本文附近位置，以供大家在虛擬機(jī)上面研究，哈哈。

4、結(jié)束異常進(jìn)程并繼續(xù)追蹤

    干掉進(jìn)程之后，流量立刻下來(lái)了，遠(yuǎn)程也不卡頓了，難道刪掉程序文件，干掉異常進(jìn)程我們就認(rèn)為處理完成了么？想想也肯定沒(méi)那么簡(jiǎn)單的，這個(gè)是木馬啊，肯定還會(huì)自己生成程序文件（果然不出我所料，在我沒(méi)有搞清楚之前，后面確實(shí)又生成了）我們得繼續(xù)追查。

5、查看登錄記錄及日志文件secure

    通過(guò)命令last查看賬戶(hù)登錄記錄，一切正常。查看系統(tǒng)文件message并沒(méi)有發(fā)現(xiàn)什么，但是當(dāng)我查看secure文件的時(shí)候發(fā)現(xiàn)有些異常，反正是和認(rèn)證有關(guān)的，應(yīng)該是嘗試連進(jìn)來(lái)控制發(fā)包？

6、再次ps查看進(jìn)程

    其實(shí)第一次ps的時(shí)候就有這個(gè)問(wèn)題，那時(shí)候沒(méi)有發(fā)現(xiàn)，第二次是自習(xí)查看每個(gè)進(jìn)程，自習(xí)尋找不太正常的進(jìn)程，發(fā)現(xiàn)了一個(gè)奇怪的ps進(jìn)程。

    我找了一臺(tái)正常的機(jī)器，查看了一下ps命令的大小，正常的大約是81KB，然后這臺(tái)機(jī)器上面的ps卻高達(dá)1.2M，命令文件肯定是被替換了。

   然后進(jìn)入另一個(gè)ps的目錄，看到有如下幾個(gè)命令，然后我有查詢(xún)了一下系統(tǒng)的這幾個(gè)命令，發(fā)現(xiàn)都變得很大，都達(dá)到了1.2M，這些系統(tǒng)命令文件肯定是都被替換了。

7、更多異常文件的發(fā)現(xiàn)

   查看定時(shí)任務(wù)文件crontab并沒(méi)有發(fā)現(xiàn)什么一次，然后查看系統(tǒng)啟動(dòng)文件rc.local，也沒(méi)有什么異常，然后進(jìn)入/etc/init.d目錄查看，發(fā)現(xiàn)比較奇怪的腳本文件DbSecuritySpt、selinux。

    第一個(gè)文件可以看出他就是開(kāi)機(jī)啟動(dòng)那個(gè)異常文件的，第二個(gè)應(yīng)該和登錄有關(guān)，具體我還不是很清楚，反正肯定是有問(wèn)題的。

   既然和登錄有關(guān)，那就找和ssh相關(guān)的，找到了下面的一個(gè)文件，是隱藏文件，這個(gè)也是木馬文件，我們先記錄下來(lái)，這樣程序名字都和我們的服務(wù)名字很相近，就是為了迷惑我們，他們的大小都是1.2M，他們有可能是一個(gè)文件。

   我有看了一下木馬喜歡出現(xiàn)的目錄/tmp，也發(fā)現(xiàn)了異常文件，從名字上感覺(jué)好像是監(jiān)控木馬程序的。

    想到這里，替換的命令應(yīng)該很多，單靠我們?nèi)フ铱隙ㄊ墙鉀Q不了的，我的建議最好是重裝操作系統(tǒng)，并做好安全策略，如果不重裝，我下面給一下我的方法，具體行不行有待驗(yàn)證。

三、木馬手動(dòng)清除

    現(xiàn)在綜合總結(jié)了大概步驟如下：

1、簡(jiǎn)單判斷有無(wú)木馬

2、上傳如下命令到/root下

3、刪除如下目錄及文件

4、找出異常程序并殺死

    我自己重新安裝好像不行，我是找的正常的機(jī)器復(fù)制的命令。

四、殺毒工具掃描

1、安裝殺毒工具clamav

2、啟動(dòng)服務(wù)

3、更新病毒庫(kù)

    由于ClamAV不是最新版本，所以有告警信息?？梢院雎曰蛏?jí)最新版本。

4、掃描方法

    可以使用clamscan -h查看相應(yīng)的幫助信息

5、查看日志發(fā)現(xiàn)

   把發(fā)現(xiàn)的命令刪掉替換正常的

附錄：Linux.BackDoor.Gates.5

    經(jīng)過(guò)查詢(xún)資料，這個(gè)木馬應(yīng)該是Linux.BackDoor.Gates.5，找到一篇文件，內(nèi)容具體如下：

    某些用戶(hù)有一種根深蒂固的觀(guān)念，就是目前沒(méi)有能夠真正威脅Linux內(nèi)核操作系統(tǒng)的惡意軟件，然而這種觀(guān)念正在面臨越來(lái)越多的挑戰(zhàn)。與4月相比，2014年5月Doctor Web公司的技術(shù)人員偵測(cè)到的Linux惡意軟件數(shù)量創(chuàng)下了新紀(jì)錄，六月份這些惡意軟件名單中又增加了一系列新的Linux木馬，這一新木馬家族被命名為L(zhǎng)inux.BackDoor.Gates。

    在這里描述的是惡意軟件家族Linux.BackDoor.Gates中的一個(gè)木馬：Linux.BackDoor.Gates.5，此惡意軟件結(jié)合了傳統(tǒng)后門(mén)程序和DDoS攻擊木馬的功能，用于感染32位Linux版本，根據(jù)其特征可以斷定，是與Linux.DnsAmp和Linux.DDoS家族木馬同出于一個(gè)病毒編寫(xiě)者之手。新木馬由兩個(gè)功能模塊構(gòu)成：基本模塊是能夠執(zhí)行不法分子所發(fā)指令的后門(mén)程序，第二個(gè)模塊在安裝過(guò)程中保存到硬盤(pán)，用于進(jìn)行DDoS攻擊。Linux.BackDoor.Gates.5在運(yùn)行過(guò)程中收集并向不法分子轉(zhuǎn)發(fā)受感染電腦的以下信息：

• CPU核數(shù)（從/proc/cpuinfo讀取）。
  

• CPU速度（從/proc/cpuinfo讀取）。

• CPU使用（從/proc/stat讀取）。

• Gate'a的 IP（從/proc/net/route讀?。?/p>

• Gate'a的MAC地址（從/proc/net/arp讀?。?/p>

• 網(wǎng)絡(luò)接口信息（從/proc/net/dev讀取）。

• 網(wǎng)絡(luò)設(shè)備的MAC地址。

• 內(nèi)存（使用/proc/meminfo中的MemTotal參數(shù)）。

• 發(fā)送和接收的數(shù)據(jù)量（從/proc/net/dev讀?。?。

• 操作系統(tǒng)名稱(chēng)和版本（通過(guò)調(diào)用uname命令）。

    啟動(dòng)后，Linux.BackDoor.Gates.5會(huì)檢查其啟動(dòng)文件夾的路徑，根據(jù)檢查得到的結(jié)果實(shí)現(xiàn)四種行為模式。

    如果后門(mén)程序的可執(zhí)行文件的路徑與netstat、lsof、ps工具的路徑不一致，木馬會(huì)偽裝成守護(hù)程序在系統(tǒng)中啟動(dòng)，然后進(jìn)行初始化，在初始化過(guò)程中解壓配置文件。配置文件包含木馬運(yùn)行所必須的各種數(shù)據(jù)，如管理服務(wù)器IP地址和端口、后門(mén)程序安裝參數(shù)等。

    根據(jù)配置文件中的g_iGatsIsFx參數(shù)值，木馬或主動(dòng)連接管理服務(wù)器，或等待連接：成功安裝后，后門(mén)程序會(huì)檢測(cè)與其連接的站點(diǎn)的IP地址，之后將站點(diǎn)作為命令服務(wù)器。

    木馬在安裝過(guò)程中檢查文件/tmp/moni.lock，如果該文件不為空，則讀取其中的數(shù)據(jù)（PID進(jìn)程）并“干掉”該ID進(jìn)程。然后Linux.BackDoor.Gates.5會(huì)檢查系統(tǒng)中是否啟動(dòng)了DDoS模塊和后門(mén)程序自有進(jìn)程（如果已啟動(dòng)，這些進(jìn)程同樣會(huì)被“干掉”）。如果配置文件中設(shè)置有專(zhuān)門(mén)的標(biāo)志g_iIsService，木馬通過(guò)在文件/etc/init.d/中寫(xiě)入命令行#!/bin/bash\n<path_to_backdoor>將自己設(shè)為自啟動(dòng)，然后Linux.BackDoor.Gates.5創(chuàng)建下列符號(hào)鏈接：

    如果在配置文件中設(shè)置有標(biāo)志g_bDoBackdoor，木馬同樣會(huì)試圖打開(kāi)/root/.profile文件，檢查其進(jìn)程是否有root權(quán)限。然后后門(mén)程序?qū)⒆约簭?fù)制到/usr/bin/bsd-port/getty中并啟動(dòng)。在安裝的最后階段，Linux.BackDoor.Gates.5在文件夾/usr/bin/再次創(chuàng)建一個(gè)副本，命名為配置文件中設(shè)置的相應(yīng)名稱(chēng)，并取代下列工具：

    木馬以此完成安裝，并開(kāi)始調(diào)用基本功能。

    執(zhí)行另外兩種算法時(shí)木馬同樣會(huì)偽裝成守護(hù)進(jìn)程在被感染電腦啟動(dòng)，檢查其組件是否通過(guò)讀取相應(yīng)的.lock文件啟動(dòng)（如果未啟動(dòng)，則啟動(dòng)組件），但在保存文件和注冊(cè)自啟動(dòng)時(shí)使用不同的名稱(chēng)。

    與命令服務(wù)器設(shè)置連接后，Linux.BackDoor.Gates.5接收來(lái)自服務(wù)器的配置數(shù)據(jù)和僵尸電腦需完成的命令。按照不法分子的指令，木馬能夠?qū)崿F(xiàn)自動(dòng)更新，對(duì)指定IP地址和端口的遠(yuǎn)程站點(diǎn)發(fā)起或停止DDoS攻擊，執(zhí)行配置數(shù)據(jù)所包含的命令或通過(guò)與指定IP地址的遠(yuǎn)程站點(diǎn)建立連接來(lái)執(zhí)行其他命令。

    此后門(mén)程序的主要DDoS攻擊目標(biāo)是中國(guó)的服務(wù)器，然而不法分子攻擊對(duì)象也包括其他國(guó)家。下圖為利用此木馬進(jìn)行的DDoS攻擊的地理分布：

本文出自 “小小水滴” 博客，請(qǐng)務(wù)必保留此出處http://wangzan18.blog.51cto.com/8021085/1740113