最近服务器段网络时段时继的,通过检查防火墙发现,防火墙不定时的UDP并发数高达5W左右,发现都是同一服务器发起的连接.


通过分析相关日志后在boot日志中发现有个别程序定时重启而找不到目标,发现是原来被发现的恶意程序路径。

/etc/rc5.d/S998iislog: line 3:/etc/init.d/cron: No such file or directorymkdir: cannot create directory`/var/opt': File existsmkdir: cannot create directory `/usr/lib': File exists


看来是上次没有清理彻……。

 

程序执行过程

执行脚本scon.sh 清空iptables 所有规则,并开放自己需要的相关端口。

wKiom1RNuZbxxAIbAAKhliDftUA146.jpg




检测相关文件是否存在,如不存在从/lib目录下拷贝相关***程序更名到/var/opt/lm/下,文件名pstart 与系统的一个进程非常相似。

wKioL1RNueqiKVc7AAGUHzJ-r8c628.jpg

 

启动 psatrt 调用 fake.cfg 内参数,扫描外网 80端口已否可访问,


如可访问开始发起UDP***,端口从10000:60000 一共发起50000个并发连接数,上传带宽达到100M。

一直保持50000连接不释放导致防火墙CPU无法正常处理,最后导致防火墙性能下降后,无法正常工作。

 wKioL1RNun6RkseaAAA4LyKy07g095.jpg

进入到rc5.d 打开S998iislog发现是个伪装程序(在相关rc2 rc3 rc4 中都发现相关的链接)链接到/etc/init.d下的iislog 文件。

1.发现恶意程序最终路径为 /bin/下的.iptab1,.iptab2,.iptab3这三个文件

2.程序自动写入计划任务,此计划任务不是系统内的只是与计划任务程序同名,通过crontab-l 无法找到,crontab -e 编辑时也没有发现。

  直接写入到/etc/crontab 这个文件内了。

3.发现此恶意程序为4月27日被注入。

4.各程序之间形成了一个环,如中间任务一个没有被找到都会复发。

 

iislog脚本内容如下:

wKiom1RNuZbj1KAfAANLdCzXMXU452.jpg

 

与系统进程同名的crontab脚本内容:


 wKioL1RNueqzQeN2AAFGBhzqa9s082.jpg

 

手动删除,现监测没有发现什么问题。

 

系统被这个搞过的,重装下系统,要不后面会有好多问题。