Linux系統BillGates botnet component查殺

前言

BillGates惡意軟體針對運行中的linux伺服器，其主要目的是感染伺服器，將它們連接在一個通過中央 C & C伺服器控制的殭屍網路中，指示機器人在目標上發起 DDoS 攻擊。根據 Akamai 的安全情報研究小組 (SIRT)，目前黑客的裝備已從比較舊的XOR DDoS 殭屍網路裝備已經切換到 BillGates 殭屍網路。

安全事件分析及處置

第一次做linux系統的應急響應事件，找到之前收藏的一篇黑客入侵應急排查文章，收益頗多。此次事件是伺服器攻擊外網別的主機，很有可能是中病毒了。

（參考鏈接為：https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin。）

1、查看防火牆

首先查看了防火牆上面的日誌，發現大量的日誌報警信息，均是CPU使用率過高。

和已知情況差不多，伺服器和外地一主機進行大量的會話連接，應該是伺服器被當作肉雞對外網別的機器進行攻擊。

2、查看伺服器

登錄上伺服器，查看網路相關情況，發現該伺服器對外發包68.4TB數據，流量之大讓人有些驚訝。

查看進程的詳細信息，發現有一個進程佔cpu資源非常多，如下圖所示。初步判斷這是病毒的相關進程，對libstdc進程進行處理，先強制停止該進程，命令為killall-9 libstdc，意為關閉所有名為libstdc的進程，也可後面跟對應的pid號。

找到病毒的所在位置使用find命令，在所有目錄下查找find / -namelibstdc，然後刪除相關的程序（綠色代表可執行文件）。

使用rm –rf進行刪除操作，然而提示沒有足夠許可權。使用lisattr命令發現該程序被賦了i許可權（文件不可更改），然後用chattr –i來去除這個屬性就可以順利刪除了。刪除後不可掉以輕心，病毒很容易再生，所以防止它再生應立刻給該目錄賦予i許可權，使用chattr +i命令。

3、查看任務計劃

查看了任務計劃，未發現存在libstdc相關計劃任務。

4、查看ssh配置文件

查看了sshd_config文件，不存在信任的木馬文件 。

5、查看歷史命令

只使用了cd、ls、cat等命令，未發現異常，應該是被黑客抹去了。

6、檢查其他後門及病毒

安裝rkhunter程序，掃描rootkit文件，使用wget命令，不是默認有的，需要自己安裝。

掃描結果如下圖所示，發現了BillGates botnet component（比爾蓋茨殭屍網路組件）。

去掃描日誌/var/log/rkhunter.log中查看可疑文件。找到一些木馬後門病毒等，還有木馬的啟動程序（應該是比爾蓋茨殭屍網路的相關組件）。

/tmp/gates.lod

/tmp/moni.lod

/usr/bin/.sshd

/usr/bin/bsd-port/getty

/usr/bin/bsd-port/getty.lock

/etc/init.d/DbSecuritySpt

/etc/rc.d/init.d/DbSecuritySpt

/etc/rc1.d/seclinux

將上面的文件一一刪除，刪除完以後一定記得要禁止系統服務目錄的寫入許可權：

其中的moni.lod這個可執行文件怎麼刪除都刪不掉，後來採取更改許可權來解決，讓它無法執行。使用命令為chmod –R 000 moni.lod。

刪除相關文件後，進行復掃，復掃結果表明，billgates botnet component已消失。

最後在伺服器上，安裝了殺毒軟體clmava，安裝命令為yum -y installepel-release，將主要目錄都掃描一遍如/bin、/usr、/etc、/dev、/tmp等。（參考鏈接：

https://blog.csdn.net/liumiaocn/article/details/76577867。）

總結

剛開始刪除病毒的時候忽略了病毒的再生性，當以為刪除完了重啟機器後發現病毒又存在了，並且又佔了cpu的使用率使得機器很卡。後來查看了多篇文章，看到了禁止系統服務目錄的寫入許可權的辦法，之後又重新刪除一遍病毒以及後門文件。再次重啟就一一查看相關目錄，相關病毒文件就不存在了。刪除完病毒後，別忘記更改系統密碼。查看伺服器時，看到很多登錄失敗的信息以及有幾個成功登錄的信息。刪除不掉的文件，有個笨辦法就是把文件的許可權改為000，這樣就算是病毒它也無法執行。希望此篇文章能夠幫助到像我一樣的小白們少走些彎路。

*本文作者：橙子xx001，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！