公告资讯 > BillGates僵尸网络木马预警及处理措施

BillGates僵尸网络木马预警及处理措施

发布日期:2017-11-08 16:34:07        新闻来源:联通官网

尊敬的沃云用户:

您好,近期沃云平台发现木马攻击事件呈上升趋势,且遭受Billgates木马感染的用户多为国内用户,经过深入分析发现,被感染的主机将出现CPU占用过高、网络流量异常、对外DDOS攻击现象,同时tmp目录下会生成gates.lod文件,且文件被删除后仍会再生,同时会出现很多系统命令被替换现象。

一、木马简介

Billgates是一个近几年非常活跃的DDoS僵尸网络,此程序组成的僵尸网络遍及世界。网络中bot节点多是一些存在弱口令或软件漏洞的linux主机,攻击者利用ssh爆破、exploit、1day、2day等方式对大量IP进行攻击尝试获得服务器的控制权,并通过部署僵尸木马被控端壮大僵尸网络。僵尸网络根据服务端命令可以实现DDoS攻击、反弹shell等多种操作。


二、木马分析

1.被感染的主机将出现CPU占用过高、网络流量异常,造成网络丢包主机卡顿现象。

2.所有被感染的目录和文件:

/etc/init.d/selinux

/etc/init.d/DbSecuritySpt

/etc/rc[1-5].d/S99selinux

/etc/rc[1-5].d/S97DbSecuritySpt

/usr/bin/bsd-port

/tmp/gate.lod

/tmp/moni.lod

/usr/bin/dpkgd

/usr/bin/.sshd

tomcat主目录下conf.n和可运行文件lf

Billgates木马本身会生成多个副本,还有可能转移到其他目录。

三、解决方法

1.首先需要做的就是断开主机网络,如果是在生产环境中的机器不可断网的应该封掉非业务端口。

2.关闭不必要的端口,仅留必要的端口(一般为80和22)。

3.尝试查找木马信息,会发现在/etc/init.d目录下多了DbSecuritySpt和selinux两个文件

4.打开文件可以看到木马可执行文件所在目录。

5.通过ps -ef 找到进程pid,然后利用 lsof -p 查看进程打开的所有文件信息,并尝试杀掉进程,并删除这些打开的文件,但文件删除后还会重新生成。

6.木马进程运行时会将其pid记录在/tmp/gates.lock文件中,需尝试修改该文件的属性:chattr +i /tmp/gates.lock

7.杀掉进程,删除相关文件,自此,木马进程不再启动。

提醒注意:如发现内网中流量异常的主机,可定期使用Linux病毒查杀工具进行木马查杀。