客户的现场环境操作系统采用的是redhat linux 7 对外提供了web应用,某天接到销售同事的反馈,说某一重要客户服务器遭受攻击,正在对外疯狂ddos,导致业务访问不了。
接到通知后,立即准备应急响应,按照PDCERF准备-检测-抑制-根除-恢复-跟踪,标准流程启动响应
| 失陷主机情况描述 | 主机感染BillGates病毒,与cc域名通信,对外异常发包 |
| 入侵后行为表现 | 主机被黑客利用对外ddos攻击,存在被黑客利用的风险 |
事件排查 1.直接在失陷的主机上抓包,发现主机正在对公网远控的域名CC通信,然后立即通过出口AF限制了失陷主机外联行为 2.从微步情报分析上看到,这个IP在请求远控服务器域名和BillGates病毒域名,确认中了比尔盖茨僵尸网络病毒 病毒分析 1.说下病毒特点,以及病毒攻击的流程 [1] 在/tmp目录下有gates.lod、moni.lod文件。 [2] 访问域名h.1718ka.com/ce.ga9.co。 [3] 系统文件被替换成了病毒文件 2.由病毒母体getty开始创建自启动脚本DbSecuritySpt,然后生成记录进程pid的getty.lock文件 3.通过第三步和第六步把病毒克隆到/usr/bin/bsd-port和/usr/bin/.sshd目录下 4.然后把记录病毒路径的程序以及监控病毒文件的进程文件释放到/tmp目录,最后劫持替换系统文件 病毒处置 1.首先把病毒的主体进程,moni.lod,gates.old,gatty,gatty.lock全部kill杀死 2. 其次把病毒的主体文件以及克隆的文件全部删除 3.然后把病毒生成的可疑的计划任务删除 4.把病毒劫持的系统命令文件删除
5.恢复被病毒劫持的系统文件 6.对主机连接的目标IP进行监控,发现还存在通信的进程 7.查看是否存在进程守护的父进程,发现调用了一些.so的库文件 8.停止与目标通信的进程,并删除调用的库文件 9. 删除进程文件后,重新监控与目标的通信发现,已经没有通信流量了,抓包也没有对外攻击的流量,病毒已经处置完成。 溯源分析 1.通过分析Linux系统的ssh登录日志发现没有爆破日志,但是有公网登录成功的日志,怀疑弱口令进入服务器,查到这个IP登录了服务器86.120.234.176,为罗马尼亚的地址 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
