linux可疑程式追蹤

2021-07-04 21:40:51 字數 1633 閱讀 4524

今天的主角是旁邊的伺服器,學姐的fedora。發生的情況和我的那台ubuntu類似。(看來是一起被黑了)

其實昨天已經發現學姐的系統出問題了,採取的措施和我那台一樣,iptables直接drop和可疑ip的連線。

今天學姐說,又出現了大流量的上行,而且似乎是通過smb(乙個傳輸工具,可以不改變許可權),她擔心專案**洩漏。我過去看了下iptables,發現那條規則沒了,於是就有了今天的另乙個關於iptables的部落格。

netstat時發現,還是能看到syn_sent的標誌。反覆netstat,可以發現這個連線沒成功的話,過一段時間會消亡,然後又啟動。

分析如果是那邊連線過來,應該根本看不到這條記錄,於是我懷疑是本地程式嘗試連線可疑ip,也就是「被動攻擊」。netstat可以看到程序的pid,然後到/proc/相應pid目錄下用ls 可以看到pid執行的程式是什麼。明天上圖

查到的執行程式在/usr/bin下。因為這個入侵事件的時間應該是最近,所以用

ls -l |grep aug
過濾出8月份的修改記錄,然後發現了好多14年之前的檔案,這些不會有問題。當然也有幾個最近的大小為0的,名字亂七八糟,一看就知道不是系統檔案,明天上圖。

大小為0的沒什麼異常,刪掉之後就沒了。關鍵就是修改日期是前天或大前天的幾個檔案,其中乙個是可疑連線啟動的程式。

root許可權下

rm -f 檔名 [檔名]......
刪除那幾個檔案。刪掉之後,ls再看,又出現了個一樣大小的亂名檔案!修改日期就是剛剛!

netstat檢視連線,可疑連線的pid對應的程式就是這個剛剛生成的檔案,至此我已毛骨悚然。

也就是說,乙個有個程序在盯著這個檔案,保證它存在於這個目錄下,而且在生成的同時執行了它,如果不乾掉這個程序,我們永無安寧,但是我們上哪兒去找這個程序呢。

windows平台下,防毒軟體成熟,不需要我們擔心。linux這裡完全就是摸瞎。

群友分析

linux系統程序這塊,我不是很熟,指不定kill乙個程序就把系統弄崩,而且程序數量龐大,雖然一定可以找到,但是要多久就不好說了。

就像win平台下的pe病毒,病毒要執行的**嵌入到可執行**區。病毒課的課外作業我做的就是pe病毒,所以知道這個概念。但是並沒有什麼用,我沒法手動取出被修改的節,單單它在哪個檔案我都不知道。

這個群友給的真是下下策,我所知道的我用的這台ubuntu,光搭編譯ceph的環境都不知道能不能搞定,學姐這台fedora就更不清楚了。不過這個法子夠徹底,無後患。

其他幾個連線到這台機器的伺服器,也可能被感染了,重灌估計也避免不了了。

就在我折騰這個fedora的時候,轟的一聲,周圍全黑,停電了。回到實驗室,學長學姐鬧騰著,說東邊全停了。有人還叫著「我的報告啊!」,想想自己設定的wps1分鐘儲存一次,真是慶幸。

回到寢室後,和乙個經常用debian的l同學聊了下,說可以算下可疑檔案的md5然後到網上查查,如果是比較嚴重的問題,應該有人已經遇到過了,否則就重灌吧。

回到自己寢室,和室友聊著聊著,腦海裡閃過ubuntu安裝盤的試用介面,當時我是用這個搞定「重灌win7,grub消失」這個問題的。跑到l那兒,問了下,他說試用啟動的話,監視程序應該不會啟動,可疑檔案應該就不會重生了,不過如果這個監視程序不是這個可疑檔案自己釋放的,這個法子就沒意義了。

明早我去實驗室試試,祝我好運吧。

linux取證之可疑程式分析

對可疑惡意 的取證需要在安全和可靠的環境中進行,應將可疑檔案放置在隔離環境或者沙箱系統網路中。檢查惡意程式的準則 建立環境基準 vmware建立模擬環境 分析之前,首先保留受害系統在可疑 執行前的快照 同時也需要執行乙個可對初始化時的系統狀態和 執行後的系統狀態進行比較的工具。執行前的準備 系統和網...

AutoUpdate一款可疑更新程式分析報告

病毒名稱為autoupdate.exe,執行後無視窗。採用upx加殼,編寫語言為microsoft visual c 6.0。病毒名稱 autoupdate.exe 所屬家族 木馬 md5值 776da18e62b346bb7b9f3f9f9c4fc158 sha1值 d541e35caad8ddc...

PHPLog php 程式除錯追蹤工具

原理 1.程式執行的過程中,在相應的地方記錄你想要追蹤的變數及呼叫棧和每次函式呼叫的引數,把這些資訊以一定的格式記錄到檔案,乙個變數一行,具體資料格式請參看 這裡不細講.2.現在有了每次記錄變數時的所有資訊 包括呼叫棧及引數 當你通過瀏覽器訪問這個程式時,這個程式會把整個檔案讀取分析,在頁面顯示你的...