其实这个事情发生在2014年10月份的时候,那个时候就想把经历写成博客来着,但是当时任务过多搁置了,当然也不排除我懒的原因吧!
最近也是因为在微云发现我当时保存的肉鸡样本,才想起现在来写点什么, 目前只能凭借依稀记忆和样本来写这篇博客啦。
样本如下:
好了begin 。。。
是这样的,公司内网有一题台服务器,一个星期到某个时段公司所有机器断网上不去网的情况, 正是那是我们公司是做wifi相关产品,
公司摆了很多路由器做测试,我们以为是设备信号干扰之类导致到家上不去网也就没有太大关注。
但是这种事情发生多了,而且还蛮有规律的,我就意识到是不是中了ddos肉鸡植入(因为自己之前写过肉鸡、主控对DDOS机制还比较了解)。
第一反应就是公司有台Linux服务器开了弱密码的SSH远程连接(内网花生壳映射出去的), 当时是给做硬件开发者专门用来远程编译的路由器固件(openwrt)的ubuntu服务器。
登陆那台服务器用ifconfig命令查看网卡信息,果然eth0网卡流量走了几个T的(吓死宝宝了),这样就能确定是DDOS肉鸡了。
根据自己对DDOS的了解,DDOS一般都会修改/etc/crontab任务启动表用来定时启动肉鸡程序,打开如下:
这下有线索了, 查看scon.sh文件,纠结是怎么肉鸡启动的、以及肉鸡的位置。
由于内容太长, 中间省略一些。。。。
发现肉鸡对iptables修改如下:
通过以上脚本可以发现程序名和位置:
当时很高心算是找到肉鸡了。
用ps -ef|grep pstart, 确实也能看到进程是存在的。
当时处理的是:
1、rm /var/opt/lm -rf,把肉鸡删除。
2、把服务器ssh改成非22端口和密码用mkpasswd工具生成复杂密码。
3、清除/etc/crontab被肉鸡修改部分。
4、清空iptables规则, iptables -F 、 iptables -t nat -F。
5、杀掉肉鸡进程:pkill -9 pstart
当时特别高兴以为自己真的就这样把肉鸡干掉了。
但事情还没有完, 因为过了第二天又出现了,还是间歇性断网, 我重复上述操作发现发现流量还是几百G。
当时在想:
1、难道又是被注入了?不可能啊, 我的密码足够复杂啊,(用mkpass工具生成的)。
2、难道有残留肉鸡?
那应该是第二种可能了,应该是没有完全清除掉,其他地方肯定还有隐藏残留肉鸡再制作肉鸡的,那怎么查到残留的肉鸡呢?
步骤:
1、一般Linux启动项目, 一般会读取/etc下配置文件,来启动相关程序。
2、肉鸡程序名叫pstart,那么/etc下肯定存在相关制作pstart的脚本或者程序。
3、当时/etc下面那么多文件, 怎么找呢,一个一个打开查找吗?当然不可能的。
4、由于使用的也是Linux,平时经常会在代码结构下通过find、grep查询关键词,对查找命令已经非常熟悉了, 哈哈。
5、执行命令: find /etc/ -type f| xargs grep “pstart”, 检索到关于pstart相关的脚本:
后面还有一部分部分,考虑到比较敏感就省略吧。。。。
如上,原来在/etc/profile.d/iislog里面还有一段脚本, 就是用来恢复肉鸡的脚本。通过如上不难发现肉鸡的真实位置了:/bin/.iptab{1-2}。
好了, 现在要做的工作就是:
1、删除原始肉鸡:iislog、/bin/.iptab{1-2}以及/var/opt/lm了。
2、重复第一次删除运行的肉鸡pstart。
3、重启服务器。
========== END==========