今天来说说这个木马(Linux.BackDoor.Gates.5),很是烦人,已经中招三次了,这次才找到原因,原来是apache的activemq消息队列的漏洞导致,有个致命漏洞,搜索了一下大概漏洞刚出来的时候赏金在3500$, 攻击者通过api在程序默认的webapps目录下面写入了两个jsp文件, 也是大意没有把默认的程序删除,以此谨记。
早上在马哥公众号看到另一个同行中招,写下他的捉马记,原地址wangzan18.blog.51cto.com/8021085/1740113
哪知下午也中招,其实作者写的过程很详细,但是我感觉有些瑕疵,先把webapp目录干掉,把后门切断,再来捉马,木马产生了很多进程,把原生命令给替换了,这里不要上来就杀进程,否则就是灾难,先找出有哪些运行中的进程,找到它们的位置,最好是一次找到全部删除的同时并用chattr +i 锁定目录,让它不能继续产生文件,然后再一次批量杀死进程,把它替换的系统命令 ps netstat lsof ss 全部删除 然后从其他同版本系统上cp过来。
rm /usr/bin/dpkgd/ /usr/bin/bsd-port/ /usr/bin/.sshd /tmp/gates.lod /tmp/moni.lod -rf && chattr +i /usr/bin/
rm /etc/rc.d/init.d/DbSecuritySpt /etc/rc{1,2,3,4,5}.d/S97DbSecuritySpt /etc/rc.d/init.d/selinux /etc/rc{1,2,3,4,5}.d/S99selinux -rf
rm /etc/init.d/DbSecuritySpt -rf && chattr +i /etc/init.d/
rm /tmp/gates.lod /tmp/moni.lod -rf && chattr +i /tmp
找到木马进程 for i in 6049 6593 1463 1476 1508;do kill -9 $i;done
yum reinstall procps net-tools lsof iproute -y 被替换的命令就是这四个包生成的,重新安装一下 如果不行从其他 机器上cp过来。
之前两个都是直接重装了系统,虽然影响不大,但是没找到原因还是不痛快,这下知道病症就好下药了,特此记录一下。
