开启左侧

记一次Linux系统被rootkit的排查过程(一)

二维码 [复制链接]
193 0
事件起因:2016年6月29日晚,22点左右,我准备与Delphi君电话中,突然发现电脑上QQ自动离线,然后又自动登录,开始以为QQ被盗了。电话完后,发现是网络不稳定引起的,由于小区宽带上个月才进电信光纤网,存在一些不稳定因素,是可以理解的。但马上发现我居然连普通的百度都打不开了,几分钟后,我冷静了下来,准备看看是不是附近有人赠我的网,把我的带宽用完了。果断登录路由器发现我的Linux虚拟机居然占用了所有的上行流量,事态趋向严重了——我的Linux机器被人中了木马。
开始排查:

1、ps和top上场

ps命令发现其中有两个随机英文名程序,应该不是我自己的程序。使用top命令发现如下图:

记一次Linux系统被rootkit的排查过程(一)

记一次Linux系统被rootkit的排查过程(一)


尝试kill掉这两个进程,几秒内,路由器显示带宽使用率下来了,但不幸的是,马上又恢复了我打电话期间的状态。好吧,看来还有后台程序会自动生成。

2、禁用虚拟机网卡
此步中我将虚拟机网上改成vmnet host only模式,让它暂时不能连接互联网,恢复家庭网络。同时将虚拟机网卡IP设置成与vmware虚拟网卡同一网段,以方便ssh工具进行连接。

3 查看程序所在路径
查找程序路径:ls /proc/进程号/exe,然后再次kill掉进程,又会生成一个新的进程名,发现路径也是随机在PATH变量的路径中变换,有时在/bin目录,有时在/sbin,有时在/usr/bin目录中。
看来还有后台主控程序在作怪,继续查找。

4 尝试查找跟踪下程序
查看/bin /sbin /usr/bin等目录下是否存在以.开头的文件名,发现不少,而且部分程序移除后会自动生成。
[root@localhost opt]# ls /usr/bin/.
./               ../              .fipscheck.hmac  .ssh.hmac
说明还没找到主控程序;此时我好奇心发作,想用strace 跟踪程序看有什么特殊没有,结果发现系统还未安装strace命令,此时虚拟机不可能联网安装,只能将光盘挂载到系统中去,创建本地yum源进行安装:
  1. mkdir /mnt/cdrom/
  2. mount /dev/sr0 /mnt/cdrom
  3. cd /etc/yum.repos.d
  4. cat >DVD.repo<<EOF
  5. [DVD]
  6. name=Install from DVD
  7. baseurl=file:///mnt/cdrom
  8. gpgcheck=0
  9. enable=1
  10. EOF
  11. yum clean all
  12. yum install strace -y
复制代码
好了,接下来跟踪一下:strace /bin/hzqzqdmatu
  1. execve("/bin/hzqzqdmatu", ["/bin/hzqzqdmatu"], [/* 22 vars */]) = 0
  2. [ Process PID=21656 runs in 32 bit mode. ]
  3. uname({sys="Linux", node="localhost.localdomain", …}) = 0
  4. brk(0)                                  = 0x8478000
  5. brk(0x8478cc0)                          = 0x8478cc0
  6. set_thread_area(0xff92ccfc)             = 0
  7. set_tid_address(0x8478888)              = 21656
  8. set_robust_list(0x8478890, 12)          = 0
  9. futex(0xff92cfc4, FUTEX_WAKE_PRIVATE, 1) = 0
  10. rt_sigaction(SIGRTMIN, {0x8054230, [], SA_SIGINFO}, NULL, 8) = 0
  11. rt_sigaction(SIGRT_1, {0x8054150, [], SA_RESTART|SA_SIGINFO}, NULL, 8) = 0
  12. rt_sigprocmask(SIG_UNBLOCK, [RTMIN RT_1], NULL, 8) = 0
  13. getrlimit(RLIMIT_STACK, {rlim_cur=10240*1024, rlim_max=RLIM_INFINITY}) = 0
  14. uname({sys="Linux", node="localhost.localdomain", …}) = 0
  15. brk(0x8499cc0)                          = 0x8499cc0
  16. brk(0x849a000)                          = 0x849a000
  17. rt_sigaction(SIGTTOU, {SIG_IGN, [TTOU], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
  18. rt_sigaction(SIGTTIN, {SIG_IGN, [TTIN], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
  19. rt_sigaction(SIGTSTP, {SIG_IGN, [TSTP], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
  20. rt_sigaction(SIGHUP, {SIG_IGN, [HUP], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
  21. rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
  22. rt_sigaction(SIGCHLD, {SIG_IGN, [CHLD], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
  23. readlink("/proc/self/exe", "/opt/hzqzqdmatu", 1023) = 15
  24. clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0) = 21657
  25. exit_group(0)                           = ?
  26. +++ exited with 0 +++
复制代码
结果意外出现了,我跟踪下这个程序,结果它居然自杀了(把自己进程文件干掉了),算你狠!!!
然后想用netstat看下网络连接情况,结果居然查不到任何对外的网络连接,开始怀疑命令被修改过了。使用stat 查看系统命令ps  ls  netstat ps pstree等等,修改时间都在6月24日,也就是在6天内,这让我猛然想起传说中的rootkit用户态级病毒!!!!有可能是之前设置了root密码为123456,又把机器放到过公网上,被人入侵了。来,查一把它在相关路径中还放了哪些程序:
  1. [root@localhost opt]# find /bin -mtime -6 -type f
  2. /bin/jqdmewpeifrdiz
  3. /bin/zidrfiepwemdqj
  4. /bin/zidrfiepwemdqj.sh
  5. [root@localhost opt]# vim /bin/zidrfiepwemdqj.sh
  6. [root@localhost opt]# find /usr/bin -mtime -6 -type f
  7. /usr/bin/pukhvxslzk
  8. /usr/bin/etwelnhtvu
  9. [root@localhost opt]# find /usr/sbin -mtime -6 -type f
  10. [root@localhost opt]# find /sbin -mtime -6 -type f
  11. [root@localhost opt]# cat /bin/zidrfiepwemdqj.sh
  12. #!/bin/sh
  13. PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
  14. cp "/bin/zidrfiepwemdqj" "/bin/ebstpmcjbp"
复制代码
果子实验告诉你,把这些程序都删除掉,几秒后也会自动生成的,所以我们继续向真相进军,欲知后事如何,请听下回分解。


赞助本站





上一篇:Linux下ip命令
下一篇:记一次Linux系统被rootkit的排查过程(二)
学会善用【论坛搜索】功能,很多你要寻找的答案就在这里面;
您需要登录后才可以回帖 登录 | 注册

本版积分规则

发新帖 回复

104

主题

104

帖子

233

街币
更多

精彩推荐

新人报到专用贴
新人报到专用贴
==新人报道格式(选填)== 【我的昵称】: 【我的性别
爱好街资源共享区文件解压密码
爱好街资源共享区文件解压密码
因本站分享的文件实在太多,目前收集整理已经接近4T,所以有些文
独立团VIP教程第1-7版全套打包下载(含课件源码工具等)
独立团VIP教程第1-7版全套打包
独立团第1版易语言教程 独立团第一版1易语言入门 1-1-1外
爱好街链接地址失效有奖报错
爱好街链接地址失效有奖报错
我们的成长离不开大家的支持!! 各位爱好街的会员:
魔鬼作坊vip教程辅助制作培训之零基础绝密汇编语言入门课程
魔鬼作坊vip教程辅助制作培训
这套课程为汇编入门教程,学习游戏逆向反汇编需要用到的基础知
万挂作坊教程+封包+E模块(全套下载)
万挂作坊教程+封包+E模块(全套
万挂-封包 封包加密解密-01 封包加密解密-02 封包加密

免责声明:
在爱好街发布的文章与主题属会员个人意见,与本站立场无关,文章内容由作者与爱好街享有相关版权,如需转载请注明出处或取得会员与本站的许可,否则本站将追究相应的法律责任,如部分内容有侵犯任何版权问题,请立即告知本站,本站将及时予以删除并致以最深的歉意。另外不得将本站内容用于商业或者非法用途,否则,一切后果请用户自负。

Mail To:MasTer@AiHaiJie.Com

快速回复
快速回复 返回顶部 返回列表