盖茨木马
🏍️

盖茨木马

Published
March 27, 2023
Category
应急响应与取证
Subcategory
事件响应流程与策略
Tags
盖茨木马
Author
KK
Notes
本文介绍了一种名为“盖茨木马”的病毒,以及如何应对该病毒。文章描述了该病毒的行为和特征,并提供了手动清除木马的过程。
应急场景
网站管理员发现服务器 CPU 资源异常,几个异常进程占用大量网络带宽,top命令查看
事件分析
  1. 异常 IP连接: netstat -anplt
  1. 查看进行发现 ps aux 进程异常,进入该目录发现多个命令,猜测命令可能已被替换
  1. 登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程
  1. 进入rc3.d目录可以发现多个异常文件
  1. 搜索病毒原体(搜索 1223123 大小的文件) find / -size -1223124c -size +1223122c -exec ls -id {} \;
  1. 从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见
  1. http://www.freebuf.com/articles/system/117823.html
  1. http://www.sohu.com/a/117926079_515168
手动清除木马过程:
  1. 简单判断有无木马
  1. 上传如下命令到 /root 下
  1. 删除如下目录及文件
  1. 找出异常程序并杀死
  1. 删除含木马命令并重新安装