V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 4126 days ago, the information mentioned may be changed or developed.
背景:
申请了5台机器来测试elasticsearch集群,机房说机器一直在往外发包。
因为其中的一台配置了环境,不想重装,只好硬着头皮手动清理。
简单查杀:
top查看,很明显有个名为/root/46000的进程,根据经验肯定就是木马。杀之!
过了会儿又有了,我想应该是有监控进程。
通过找最近修改文件find / -size +1000000c -mtime -1,发现一些系统程序被替换了。
更精确定位 find / -size 1135000c -mtime -1
/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof
这些就是了,从另一台copy过来,最后清理
/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt
并杀掉相关进程
申请了5台机器来测试elasticsearch集群,机房说机器一直在往外发包。
因为其中的一台配置了环境,不想重装,只好硬着头皮手动清理。
简单查杀:
top查看,很明显有个名为/root/46000的进程,根据经验肯定就是木马。杀之!
过了会儿又有了,我想应该是有监控进程。
通过找最近修改文件find / -size +1000000c -mtime -1,发现一些系统程序被替换了。
更精确定位 find / -size 1135000c -mtime -1
/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof
这些就是了,从另一台copy过来,最后清理
/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt
并杀掉相关进程
Supplement 1 · Jan 16, 2015
木马样本:http://drp.io/f/lRc (请勿联网运行)
确实是elaticsearch的问题
检查:
http://nodeip:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22t%22:{%22script%22:%22Integer.toHexString%2831415926%29%22}}}}
处理:
script.disable_dynamic: true
确实是elaticsearch的问题
检查:
http://nodeip:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22t%22:{%22script%22:%22Integer.toHexString%2831415926%29%22}}}}
处理:
script.disable_dynamic: true
 |
1
iT2afL0rd Jan 15, 2015
经验相当丰富啊
|
 |
2
ls25145 Jan 15, 2015
我觉得关键在于这些文件怎么进来的?不堵上下次还能再换
|
 |
3
hcymk2 Jan 15, 2015
可能是elasticsearch (CVE-2014-3120)
|
|
4
hcymk2 Jan 15, 2015
我以前第一次弄elasticsearch 的时候中过招。
|
 |
5
shakespark Jan 15, 2015  1
要是病毒把find ls都换了会咋样。。。
|
 |
6
choury Jan 15, 2015 via Android
我在想ps都换了,怎么不换呢
|
|
7
choury Jan 15, 2015 via Android
手抖了,是“怎么不换top呢”
|
 |
8
guairen Jan 15, 2015
你们说的,我怎听不明白。 只知道TOP。
|
 |
9
Draplater Jan 15, 2015
@shakespark 可以传一个 busybox
|
 |
10
mahone3297 Jan 15, 2015
find, ls 都替换。。。好思路。。。大家都好邪恶。。。
|
 |
11
zhicheng Jan 15, 2015
这个 Rootkit 明显写得不合格,差评。
|
 |
12
horsley Jan 15, 2015
你是不是用了wdcp
|
 |
13
hiboshi Jan 16, 2015
既然 被替换了系统文件 应该是中了rootkit吧 但是 还能使用top 明显 这个 不合格 同样差评
|
 |
15
Livid MOD PRO 最近好多人都中了这个……
|
 |
16
chigco Jan 16, 2015
没查明是怎么中的吗?
|
 |
17
blijf Jan 16, 2015
我也有遇到过,不管是win还是lin都是这个DbSecuritySpt
|
 |
18
williamx Jan 16, 2015 via iPhone
看了个半懂。最后清理的文件是怎么找出来的?前几天我do上的翻墙机也中了,最后只能重装啊。求指点。
|
 |
19
hushuang Jan 16, 2015
根据描述 应该是这个木马 或者衍生
http://news.drweb.cn/show/?i=230&lng=cn&c=5 "如果在配置文件中设置有标志g_bDoBackdoor,木马同样会试图打开/root/.profile文件,检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段,Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本,命名为配置文件中设置的相应名称,并取代下列工具: /bin/netstat /bin/lsof /bin/ps /usr/bin/netstat /usr/bin/lsof /usr/bin/ps /usr/sbin/netstat /usr/sbin/lsof /usr/sbin/ps 确实只替换了这些程序 不设计 top find |
 |
20
rangercyh Jan 16, 2015
@shakespark 真是好思路。。。。不得不赞一个。。。
|
 |
22
chinni Jan 16, 2015
我之前也帮别人清理过这个, 样本在这里 http://cl.ly/0Z3b3X1c2Y0Y
|
|
23
chinni Jan 16, 2015
其实原始文件在 /usr/bin/dpkgd/ 下面......
|
 |
24
crystone Jan 16, 2015
赶紧去过看看
|
 |
25
mcone Jan 16, 2015 3
居然没有替换ls,差评不解释……
我还在学校的时候,一个将unix入门的老师,一个可爱的小老头就给我们演示过一个很简单但是很nb的“病毒”,自动发作,各种方式无法根除…骗了我们好几天,后来发现这个“病毒”方法很简单…… 1. 把.目录加入到PATH的最前面 2. 在大家登录用户~下增加一个被替换过的ls(执行后会替换各种常用命令, ifconfig, ps啥的,最后再执行原始的`ls`,顺便在结果里抹去这个`~/ls`文件存在的痕迹……) 3. 嗯,然后就没有然后了…… |
 |
26
clino Jan 16, 2015
我也好奇这种是怎么中的,不知道是直接运行来源有问题的安装文件还是怎么搞的
|
 |
27
rzer0 Jan 16, 2015
elasticsearch 远程代码执行。
|
 |
28
dansong Jan 16, 2015
陈哥QQ多少 :)
|
 |
29
aiwha Jan 16, 2015 via Android
这都太低级了,应该搞个内核模块来隐藏木马文件。。。
|
 |
30
helloworld00 Jan 17, 2015
以前弱口令也中过一次招
对方要隐藏到各个文件夹里随意改个名你很难查出来的 我觉得最好的还是重装系统。。。。 |
 |
31
vinian Feb 1, 2016
这个文件也更改了
/usr/bin/chattr |
Select Language