最近服务器段网络时段时继的,通过检查防火墙发现,防火墙不定时的UDP并发数高达5W左右,发现都是同一服务器发起的连接.
通过分析相关日志后在boot日志中发现有个别程序定时重启而找不到目标,发现是原来被发现的恶意程序路径。
/etc/rc5.d/S998iislog: line 3:/etc/init.d/cron: No such file or directorymkdir: cannot create directory`/var/opt': File existsmkdir: cannot create directory `/usr/lib': File exists
看来是上次没有清理彻……。
程序执行过程
执行脚本scon.sh 清空iptables 所有规则,并开放自己需要的相关端口。
检测相关文件是否存在,如不存在从/lib目录下拷贝相关***程序更名到/var/opt/lm/下,文件名pstart 与系统的一个进程非常相似。
启动 psatrt 调用 fake.cfg 内参数,扫描外网 80端口已否可访问,
如可访问开始发起UDP***,端口从10000:60000 一共发起50000个并发连接数,上传带宽达到100M。
一直保持50000连接不释放导致防火墙CPU无法正常处理,最后导致防火墙性能下降后,无法正常工作。
进入到rc5.d 打开S998iislog发现是个伪装程序(在相关rc2 rc3 rc4 中都发现相关的链接)链接到/etc/init.d下的iislog 文件。
1.发现恶意程序最终路径为 /bin/下的.iptab1,.iptab2,.iptab3这三个文件
2.程序自动写入计划任务,此计划任务不是系统内的只是与计划任务程序同名,通过crontab-l 无法找到,crontab -e 编辑时也没有发现。
直接写入到/etc/crontab 这个文件内了。
3.发现此恶意程序为4月27日被注入。
4.各程序之间形成了一个环,如中间任务一个没有被找到都会复发。
iislog脚本内容如下:
与系统进程同名的crontab脚本内容:
手动删除,现监测没有发现什么问题。
系统被这个搞过的,重装下系统,要不后面会有好多问题。
转载于:https://blog.51cto.com/28917/1568355