0x00 前言
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
0x01 应急场景
某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽:
0x02 事件分析
异常IP连接:
异常进程:
查看进行发现ps aux进程异常,进入该目录发现多个命令,猜测命令可能已被替换
登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :
异常启动项
进入rc3.d目录可以发现多个异常进行:
订阅专栏 解锁全文
709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
