记一次BillGates病毒的应急响应

客户的现场环境操作系统采用的是redhat  linux 7 对外提供了web应用，某天接到销售同事的反馈，说某一重要客户服务器遭受攻击，正在对外疯狂ddos，导致业务访问不了。

接到通知后，立即准备应急响应，按照PDCERF准备-检测-抑制-根除-恢复-跟踪，标准流程启动响应

失陷主机情况描述

主机感染BillGates病毒，与cc域名通信，对外异常发包

入侵后行为表现

主机被黑客利用对外ddos攻击，存在被黑客利用的风险

事件排查

1.直接在失陷的主机上抓包，发现主机正在对公网远控的域名CC通信，然后立即通过出口AF限制了失陷主机外联行为

2.从微步情报分析上看到，这个IP在请求远控服务器域名和BillGates病毒域名，确认中了比尔盖茨僵尸网络病毒

病毒分析

1.说下病毒特点，以及病毒攻击的流程

[1] 在/tmp目录下有gates.lod、moni.lod文件。

[2] 访问域名h.1718ka.com/ce.ga9.co。

[3] 系统文件被替换成了病毒文件

2.由病毒母体getty开始创建自启动脚本DbSecuritySpt，然后生成记录进程pid的getty.lock文件

3.通过第三步和第六步把病毒克隆到/usr/bin/bsd-port和/usr/bin/.sshd目录下

4.然后把记录病毒路径的程序以及监控病毒文件的进程文件释放到/tmp目录，最后劫持替换系统文件

病毒处置

1.首先把病毒的主体进程，moni.lod,gates.old,gatty,gatty.lock全部kill杀死

2.  其次把病毒的主体文件以及克隆的文件全部删除

3.然后把病毒生成的可疑的计划任务删除

4.把病毒劫持的系统命令文件删除

5.恢复被病毒劫持的系统文件

6.对主机连接的目标IP进行监控，发现还存在通信的进程

7.查看是否存在进程守护的父进程，发现调用了一些.so的库文件

8.停止与目标通信的进程，并删除调用的库文件

9. 删除进程文件后，重新监控与目标的通信发现，已经没有通信流量了，抓包也没有对外攻击的流量，病毒已经处置完成。

溯源分析

1.通过分析Linux系统的ssh登录日志发现没有爆破日志，但是有公网登录成功的日志，怀疑弱口令进入服务器，查到这个IP登录了服务器86.120.234.176，为罗马尼亚的地址