0x0 事件背景
某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象恶意进程删除后会自动重启,无法彻底删除。
0x1 初步分析
通过线程检查发现,系统存在二个对外发起连接的进程
外联地址均为HK的IP地址,黑客朋友都懂得,毕竟方便且价格便宜。
根据对二个对外发起连接的恶意进程进行追溯,发现其中一个进程的父进程PID信息,通过检查发现伪装的电源进程kthreadd且三个相为守护进程。同时删除三个进程之后一段时间后依然会重新运行。
0x2 详细分析
对伪装threadd进程进行进一步分析,发现其中的存在可疑的模块。依稀还能看到有Linux流行病毒BackDoor.XnoteDDoS的类似之处。
通过对源码与内存中的信息进行分析,发现病毒程序启动时会释放相关文件到/var/tmp/目录下,运行完之后自动删除。
备份的病毒母体dump_tcp文件到/usr/sbin/目录之下,释放另外一个通信进程cupsd到/user/local目录下。
同时生成一个名为nfsiod的反弹shell,反编译之后如下: