Linux应急响应-盖茨木马的处置方式

最新推荐文章于 2024-04-10 22:00:00 发布
最新推荐文章于 2024-04-10 22:00:00 发布
阅读量2k 收藏 6
点赞数 2
分类专栏: Linux基础(Redhat RHCSA) 网络应急响应实战 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46540009/article/details/115527537
版权

Linux应急响应-盖茨木马的处置方式

Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,BillGates攻击程序采用C/C++语言编写,因相关的程序中分别包含”Bill”和”Gates”而得名。相比其他类型DDoS程序攻击模式,BillGates具备内核模式,使用pktgen,在内核中生成攻击数据包,进而可以避免被传播的抓包或嗅探工具捕获到。
盖茨木马处置方法
查看tmp目录,看是否存在gates.lod、moni.lod恶意文件,如果有可以判断为存在Linux.BackDoor.Gates木马。
在这里插入图片描述
/etc/init.d目录下存在恶意文件DbSecuritySpt、selinux
在这里插入图片描述
木马一般会篡改/usr/sbin/目录下lsof和ss命令,以及/bin目录下netstat和ps命令,命令大小均为1.2M。
在这里插入图片描述
查看/usr/bin/bsd-port目录下生成conf.n、getty、getty.lock
在这里插入图片描述
/usr/bin/dpkgd 目录下出现出现losf、netstat、ps、ss命令
在这里插入图片描述
最后替换被篡改的命令:psnetstatsslsof删除如下目录及文件
rm-rf/usr/bin/dpkgd(psnetstatlsofss)
rm-rf/usr/bin/bsd-port#木马程序
rm-f/usr/bin/.sshd#木马后门
rm-f/tmp/gates.lodrm-f/tmp/moni.lodrm-f/etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm-f/etc/rc.d/rc1.d/S97DbSecuritySpt
rm-f/etc/rc.d/rc2.d/S97DbSecuritySpt
rm-f/etc/rc.d/rc3.d/S97DbSecuritySpt
rm-f/etc/rc.d/rc4.d/S97DbSecuritySpt
rm-f/etc/rc.d/rc5.d/S97DbSecuritySpt
rm-f/etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm-f/etc/rc.d/rc1.d/S99selinux
rm-f/etc/rc.d/rc2.d/S99selinux
rm-f/etc/rc.d/rc3.d/S99selinux
rm-f/etc/rc.d/rc4.d/S99selinux
rm-f/etc/rc.d/rc5.d/S99selinux
在这里插入图片描述
重启服务器恢复正常。
在这里插入图片描述

线程撕裂者+
关注
专栏目录
Linux应急响应(四):盖茨木马
10-07 529
0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。 0x01 应急场景 ​ 某天,网站管理员发现服务器CPU资源异常,几个异常进程占...
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
weixin_54707168的博客
02-22 657
安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
盖茨木马入侵处理经历
weixin_30622181的博客
06-23 775
今天早上在进行服务器巡检时,发现ps命令出现了比较诡异的进程. 开始怀疑命令被替换,于是执行stat命令,与正常服务器上的命令进行核对 Notice:这是处理后的截图,将原来的文件重命名了ps_bak 正常服务器# stat /bin/ps File: `/bin/ps' Size: 87088 Blocks: 176 IO Bloc...
应急响应实战之木马实战
qq_52074678的博客
05-09 2106
一.应急响应流程回顾 二.木马攻击模拟实验 (特别注意本次实验仅仅用于模拟木马攻击实验,不能拿去搞破坏,家有家规,国有国法,希望大家知法守法.) 1.环境介绍 攻击机 kali: 下载地址 被攻击机(注意关闭防火墙) win10: 下载地址: 木马脚本源码 msfvenom -a -x86 --platfrom windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口号 -b "\x00" -e x86/sh
Linux入侵应急响应思路
sash1mi
10-25 452
Linux入侵应急响应思路 0x01 登录情况排查 w:用于显示目前登入系统的用户信息,以及正在执行的程序,便于查看当前系统的使用情况 last:用于显示用户最近登录信息,可能会留下入侵者的痕迹 uptime:查看当前时间、系统运行了多久时间、当前登录的用户有多少,以及前 1、5 和 15 分钟系统的平均负载,便于查看系统的运行状况和负载情况(判断是否挖矿等提供一定凭据) 0x02 查询进程情况 top:查看资源消耗情况,id表示系统cpu剩余,若该值很小,说明系统可能被用于挖矿等严重占用资源,此
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8215
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod
Linux应急响应-系统日志排查-溯源
m0_73088370的博客
08-28 1000
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。last -n 5 --只看最新的五次登录。通过grep 来将登录失败的用户过滤出来。
linux病毒木马分析,Linux平台“盖茨木马”分析
weixin_42557803的博客
05-14 1265
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应实战笔记——Linux实战篇:④ 盖茨木马
最新发布
君逍遥o
04-10 759
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
Linux中BSD套接口开发的基础介绍
01-31 331
这是关于如何用各种可以得到的接口为Linux开发网络程序的系列文章的第一篇。就像大多数Unix-based的操作系统一样,Linux支持将TCP/IP作为本地的网络传输协议。在这个系列中,我们假定你已经比较熟悉Linux上的C编程和Linux的一些系统知识诸如signals,forking等等。这篇文章是关于如何用BSD套接口创建网络程序的基础介绍 。在下一篇中,我们会解决涉及到建立(网络)dea
记录一次linux系统清除DbSecuritySpt木马过程
gjjumin的专栏
03-23 1409
近期公司安全部门发通知说一台Linux主机有ganiw,nitol,后门软件,木马远控; 看到这几个词,完全摸不着头脑,网上也查不到什么东西; 根据安全部门的建议,用netstat查看是否有主动外联的进程(可疑的木马进程),也没查到什么; 如此这般安全监测、通知、自查、监测、通知,往返好多次都是依旧,业务部门也烦了; 我又一次检查,在top命令监测时,发现有一个进程Linux-syn2在不断的出现,而且有不同的PID; 我第一次看到这个进程名称时,以为是Liunx系统层的正常同步进程,不敢贸然kill,先把
“BillGatesLinux僵尸被用于DDoS攻击
Linux运维的博客
04-20 1949
Akamai的安全研究人员报告(PDF), 地下网络犯罪分子过去半年利用BillGates Linux僵尸网络发动攻击流量超过100Gbps的大规模DDoS攻击。 BillGates恶意程序是针对Linux服务器的一种相对老的恶意程序家族,它可以将感染的服务器连接起来创建一个僵尸网络。BillGates僵尸网络支持发动ICMP洪水、TCP洪水、UDP洪水、SYN洪水、HTTP洪水和DNS反射洪水
服务器入侵处理三则
小当家
03-06 261
一、记一次Linux服务器被入侵后的检测过程文章来之网络整理,《记一次Linux服务器被入侵后的检测过程》转载至http://mageedu.blog.51cto.com/4265610/19015430×00 前言故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流...
linux服务器被入侵查询木马(清除方法)
06-18 3455
linux服务器被入侵查询木马(清除方法) 2016年11月17日 15:52:33UpUpUpUpUpUpUp阅读数 3359 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u012599988/article/details/...
Linux 一次***病毒***排查( DbSecuritySpt)
weixin_34166472的博客
12-16 1093
刚入职一家公司,突然一台直接扔到公网的开发测试机,出现output流量暴增300M+,直接导致服务器负载飙高,IDC的cacti监控报告了流量异常问题,下面是排查过程:1、vim /root/.bash_history # 查看root用户操作命令记录文件,任何信息没有,被清楚2、vim /var/log/secure # 查看登录日志,发现好多登录失败尝...
一次Linux服务器被入侵和删除木马程序的经历
热门推荐
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
Linux内核探索:USB Hub的奥秘
13. **盖茨家对Linux代码的影响**:可能是对微软创始人比尔·盖茨对开源软件(如Linux)影响的一次幽默提及,也可能涉及到Windows和Linux在USB支持方面的比较。 14. **八大重量级函数闪亮登场** 系列:这部分深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值