Linux.BackDoor.Gates.5——又一针对Linux的木马

 linux  木马   2017-01-05 

本文转载自http://news.drweb.cn/show/?i=230&,原作时间 2014.06.25

某些用户有一种根深蒂固的观念,就是目前没有能够真正威胁Linux内核操作系统的恶意软件,然而这种观念正在面临越来越多的挑战。与4月相比,2014年5月Doctor Web公司的技术人员侦测到的Linux恶意软件数量创下了新纪录,六月份这些恶意软件名单中又增加了一系列新的Linux木马,这一新木马家族被命名为Linux.BackDoor.Gates

在这里描述的是恶意软件家族Linux.BackDoor.Gates中的一个木马:Linux.BackDoor.Gates.5,此恶意软件结合了传统后门程序和DDoS攻击木马的功能,用于感染32位Linux版本,根据其特征可以断定,是与Linux.DnsAmp和Linux.DDoS家族木马同出于一个病毒编写者之手。新木马由两个功能模块构成:基本模块是能够执行不法分子所发指令的后门程序,第二个模块在安装过程中保存到硬盘,用于进行DDoS攻击。Linux.BackDoor.Gates.5在运行过程中收集并向不法分子转发受感染电脑的以下信息:

  1. CPU核数(从/proc/cpuinfo读取)。
  2. CPU速度(从/proc/cpuinfo读取)。
  3. CPU使用(从/proc/stat读取)。
  4. Gate'a的 IP(从/proc/net/route读取)。
  5. Gate'a的MAC地址(从/proc/net/arp读取)。
  6. 网络接口信息(从/proc/net/dev读取)。
  7. 网络设备的MAC地址。
  8. 内存(使用/proc/meminfo中的MemTotal参数)。
  9. 发送和接收的数据量(从/proc/net/dev读取)。
  10. 操作系统名称和版本(通过调用uname命令)。

启动后,Linux.BackDoor.Gates.5会检查其启动文件夹的路径,根据检查得到的结果实现四种行为模式。

如果后门程序的可执行文件的路径与netstat、lsof、ps工具的路径不一致,木马会伪装成守护程序在系统中启动,然后进行初始化,在初始化过程中解压配置文件。配置文件包含木马运行所必须的各种数据,如管理服务器IP地址和端口、后门程序安装参数等。

根据配置文件中的g_iGatsIsFx参数值,木马或主动连接管理服务器,或等待连接:成功安装后,后门程序会检测与其连接的站点的IP地址,之后将站点作为命令服务器。

木马在安装过程中检查文件/tmp/moni.lock,如果该文件不为空,则读取其中的数据(PID进程)并“干掉”该ID进程。然后Linux.BackDoor.Gates.5会检查系统中是否启动了DDoS模块和后门程序自有进程(如果已启动,这些进程同样会被“干掉”)。如果配置文件中设置有专门的标志g_iIsService,木马通过在文件/etc/init.d/中写入命令行#!/bin/bash\n<path_to_backdoor>将自己设为自启动,然后Linux.BackDoor.Gates.5创建下列符号链接:

ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

如果在配置文件中设置有标志g_bDoBackdoor,木马同样会试图打开/root/.profile文件,检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段,Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本,命名为配置文件中设置的相应名称,并取代下列工具:

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

木马以此完成安装,并开始调用基本功能。

执行另外两种算法时木马同样会伪装成守护进程在被感染电脑启动,检查其组件是否通过读取相应的.lock文件启动(如果未启动,则启动组件),但在保存文件和注册自启动时使用不同的名称。

与命令服务器设置连接后,Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。按照不法分子的指令,木马能够实现自动更新,对指定IP地址和端口的远程站点发起或停止DDoS攻击,执行配置数据所包含的命令或通过与指定IP地址的远程站点建立连接来执行其他命令。

此后门程序的主要DDoS攻击目标是中国的服务器,然而不法分子攻击对象也包括其他国家。


###################

本站所用的云主机近来居然受到了两次这种攻击,第二次才重视,遂加固了系统,并安装了反病毒检测工具等,现在贴下。

1. 安装clamav

yum -y install clamav ##大概有以下软件包
clamav-lib-0.99.2-1.el7.x86_64
clamav-data-0.99.2-1.el7.noarch
clamav-update-0.99.2-1.el7.x86_64
clamav-filesystem-0.99.2-1.el7.noarch
clamav-0.99.2-1.el7.x86_64

放到定时任务中定时更新病毒库和扫描:

1  3  * * * /usr/bin/freshclam --quiet -l /var/log/clamav/freshclam.log
20 3  * * * /usr/bin/clamscan -r / -i -l /var/log/clamav/clamscan.log

2. chkrootkit安装

入侵监测软件chkrootkit,定时检测是否感染rootkit,安装它很容易,谷歌/百度一下,我也用定时任务跑一个测试:

10 00 * * * /root/bin/chkrootkit/chkrootkit -r / &>> /var/log/chkrootkit.log

以上两个注意观察日志。

3. 锁

直接锁住相关目录,后门程序也放不上。

lockSys.sh

#!/bin/bash
#锁系统
chattr -R +i /bin /boot /lib /sbin  
chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin  
chattr +i /etc/passwd  
chattr +i /etc/shadow  
chattr +i /etc/hosts  
chattr +i /etc/resolv.conf  
chattr +i /etc/fstab  
chattr +i /etc/sudoers 
chattr +i /etc/crontab
chattr -R +i /etc/rc.d/

unlockSys.sh

#!/bin/bash
#解锁系统
chattr -R -i /bin /boot /lib /sbin  
chattr -R -i /usr/bin /usr/include /usr/lib /usr/sbin  
chattr -i /etc/passwd  
chattr -i /etc/shadow  
chattr -i /etc/hosts  
chattr -i /etc/resolv.conf  
chattr -i /etc/fstab  
chattr -i /etc/sudoers 
chattr -i /etc/crontab
chattr -R -i /etc/rc.d/


点赞 打赏
取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

交流分享

QQ扫一扫或点击二维码加入,群号577543189
微信扫一扫,手滑关注它
微信扫一扫,进入小程序

推荐文章

标签云集

友情链接  交换友链

推广位