记一次盖茨木马应急响应

前言：​

这是一篇两年前的应急响应了，今天拿出来给大家分享一下排查思路

客户阐述

客户说服务器中病毒了，不占用CPU和带宽，但是影响业务；有两拨人去清除过了，但是每次都是没多久就又出来了，形容的比较模糊，当时我的疑问就是，不占用CPU和带宽是怎么影响业务的…可能是我听错了吧

排查过程​

第一眼看的其实还是历史命令，但是发现history记录是0，不知道被谁清掉了；

查看特权用户，发现只有一个root，也就是说只有root用户具备远程登录的性质

查了一下弱口令，还真就没弱口令，实际上只用了top100看了一下，打法其实就是去etc/shadow 看一下密码，然后摘出来跑一下脚本解密

除root帐号外，其他帐号是否存在sudo权限

当时查了一下netstat、top、ps等命令，查看了一下是否有可疑进程、端口等，发现没有，一问才知道，机器断网了，发现的样本给拿掉了，问样本是什么也不说​，藏着掖着的…

查看了一下开机启动的配置文件

计划任务，并没有什么异常
查看最近7日变动的文件、tmp目录，发现也都没有异常，其实也是有点问题的，但是文件太多了，也就没看，所有的东西权限都有问题

find / -mtime -7 -ls | more

查看了一下近期登录的用户、ip、都没有问题，直到查看登录失败的日志，发现失败日志有数万条，并且爆破行为很明显，间隔时间极短

之后就是漫无目的的翻垃圾，直到在
/etc/rc.d/init.d
/etc/rc.d/rc3.d
目录发现了几个异常的文件S97DbSecuritySpt 、S99selinux

到此我就明白了，ps_bak 这就是人家发现的异常文件了，原来是PS被替换了然后改了个名字放一边了，根据S97DbSecuritySpt 名字，疑似是盖茨木马

搜索木马文件
find / -size -1223124c -size +1223122c -exec ls -id {} ;
解释一下，其实盖茨木马会修改好几个系统命令，他们的大小其实在1.2MB左右，后续的图会给大家看

圈出来的，大家也能发现，其实就是人家发现了netstat和ps被替换了，然后给换了个正常的，但是这不又被替换回来了…

而后去相应的目录找了一下

异常文件大小：

正常文件大小：

清除过程

上传如下命令到usr/bin 、 usr/sbin下 （四个命令皆被替换成木马，所以需删除掉安装新的命令）
/usr/sbin/lsof
/usr/sbin/ss
/bin/netstat
/bin/ps

删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux