追踪某Linux 僵尸网络木马

时间:2014-12-05 18:35

追踪某Linux 僵尸网络木马

 用户在使用企业开源框架平台时,经常会遭受黑客各种各样的攻击,近来越来越多的攻击走向自动化。

服务器受攻击主要是因为没有给应用打补丁或者是没有对服务器做身份验证策略,导致服务器具有执行任意代码的能力。这种自动攻击发送HTTP请求,使用HEAD 来识别应用。如果成功话,僵尸程序会自动下载一个IRC 程序,程序会连接到一个控制端的服务器,并且会在该漏洞服务器中的随机产生IP继续进行扫描,进而对其它存在漏洞的服务器进行控制传播攻击。

目前受蠕虫攻击最流行的应用 (BASH破壳漏洞、Apache、status、Tomcat、JBOSS、phpmyadmin )  较为居多,国际上经常出现利用大规模僵尸网络发动DDOS 攻击,攻击者打出几百 G 流量完全依靠僵尸蠕虫传播这种技术。(目前NTP DNS 放大攻击依然威胁很大)

以下是国外安全机构统计 2014年度受攻击僵尸网络数据 TOP  25 国家,从而看出中国大陆和台湾地区受到攻击非常严重。

通常安全研究人员遇到LINUX 系统下的僵尸网络都是与DDOS 攻击有关,在我们不知道情况下很难发现是否中招,大部分企业系统管理员只有从交换机流量监控发现或系统监控 CPU 负载判断去发现。

案例分析: 

案例是在阿里云主机中发现到 minerd 程序,这种僵尸程序可以进行DDOS攻击和挖莱特币动作。这是一款典型的金融僵尸程序,使用tor网络进行指挥与控制,利用Jenkins 应用漏洞进行攻击。Jenkins应用是一款开源集成引擎,深受互连网企业用户喜欢。


0X01 Ps aux 命令进程后发现,有个很可疑的命令从一台美国服务器 67.xx.xx.xx webserver上面wget startr.sh 的脚本:


 0X02获取到Startx.sh 脚本里面有几个程序操作:

1、minerd 后门程序具有隐藏功能和cron 任务,该程序主要工作就是挖莱特币。

2、1.cfg 是个配置文件,内容包含密钥配置可与挖矿平台建产连接  stratum+tcp://us.clevermining.com:3333 。



 0X03 new.c 代码里内容: 

1)   开启程序与IRC BOT 服务端通讯,命令操作以及隐藏。

2)   各种DDOS 发包类型SYN,UDP,TCP,PUSH+ACK,NON-SPOOF UDP。

3)从new.c代码中看出来功能之多,类似于windows平台远程木马一样强大,其基本的功能都具备。


 


 0X04 分析了下这台 wget 国美IP 67.xx.xx.xx 是 apache 服务,尝试了是否可以攻破服务器,接着使用nmap ,发现有个JBOSS 应用: 


利用JBOSS部署WAR 包特性GETSHELL后拿下了服务器权限,在67.xx.xx.xx服务器查看上面部署有zabbix agent 服务:

 



0X05拿到zabbix server 权限后,发现这些服务器已经早已是僵尸程序肉鸡……