記一次Linux系統被入侵的排查過程（一）

       事件起因：某晚，22點左右，我在與某君電話中，突然發現電腦上QQ自動離線，然後又自動登入，開始以為QQ被盜了。電話完後，發現是網路不穩定引起的，由於小區寬頻上個月才進電信光纖網，存在一些不穩定因素，是可以理解的。但馬上發現我居然連普通的百度都打不開了，幾分鐘後，我冷靜了下來，準備看看是不是附近有人贈我的網，把我的頻寬用完了。果斷登入路由器發現我的Linux虛擬機器居然佔用了所有的上行流量，事態趨向嚴重了——我的Linux機器被人中了木馬。開始排查：

1、ps和top上場

   ps命令發現其中有兩個隨機英文名程式，應該不是我自己的程式。使用top命令發現如下圖：

   

   嘗試kill掉這兩個程式，幾秒內，路由器顯示頻寬使用率下來了，但不幸的是，馬上又恢復了我打電話期間的狀態。好吧，看來還有後臺程式會自動生成。

2、禁用虛擬機器網路卡

   此步中我將虛擬機器網上改成vmnet host only模式，讓它暫時不能連線網際網路，恢復家庭網路。同時將虛擬機器網路卡IP設定成與vmware虛擬網路卡同一網段，以方便ssh工具進行連線。

3 檢視程式所在路徑

   查詢程式路徑：ls /proc/程式號/exe，然後再次kill掉程式，又會生成一個新的程式名，發現路徑也是隨機在PATH變數的路徑中變換，有時在/bin目錄，有時在/sbin，有時在/usr/bin目錄中。

   看來還有後臺主控程式在作怪，繼續查詢。

4 嘗試查詢跟蹤下程式

   檢視/bin /sbin /usr/bin等目錄下是否存在以.開頭的檔名，發現不少，而且部分程式移除後會自動生成。

 

[root@localhost opt]# ls /usr/bin/.

./               ../              .fipscheck.hmac  .ssh.hmac

   說明還沒找到主控程式;此時我好奇心發作，想用strace 跟蹤程式看有什麼特殊沒有，結果發現系統還未安裝strace命令，此時虛擬機器不可能聯網安裝，只能將光碟掛載到系統中去，建立本地yum源進行安裝：

mkdir /mnt/cdrom/

mount /dev/sr0 /mnt/cdrom

cd /etc/yum.repos.d

cat >DVD.repo<<EOF

[DVD]

name=Install from DVD

baseurl=file:///mnt/cdrom

gpgcheck=0

enable=1

EOF

yum clean all

yum install strace -y

好了，接下來跟蹤一下：strace /bin/hzqzqdmatu

execve("/bin/hzqzqdmatu", ["/bin/hzqzqdmatu"], [/* 22 vars */]) = 0

[ Process PID=21656 runs in 32 bit mode. ]

uname({sys="Linux", node="localhost.localdomain", …}) = 0

brk(0)                                  = 0x8478000

brk(0x8478cc0)                          = 0x8478cc0

set_thread_area(0xff92ccfc)             = 0

set_tid_address(0x8478888)              = 21656

set_robust_list(0x8478890, 12)          = 0

futex(0xff92cfc4, FUTEX_WAKE_PRIVATE, 1) = 0

rt_sigaction(SIGRTMIN, {0x8054230, [], SA_SIGINFO}, NULL, 8) = 0

rt_sigaction(SIGRT_1, {0x8054150, [], SA_RESTART|SA_SIGINFO}, NULL, 8) = 0

rt_sigprocmask(SIG_UNBLOCK, [RTMIN RT_1], NULL, 8) = 0

getrlimit(RLIMIT_STACK, {rlim_cur=10240*1024, rlim_max=RLIM_INFINITY}) = 0

uname({sys="Linux", node="localhost.localdomain", …}) = 0

brk(0x8499cc0)                          = 0x8499cc0

brk(0x849a000)                          = 0x849a000

rt_sigaction(SIGTTOU, {SIG_IGN, [TTOU], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

rt_sigaction(SIGTTIN, {SIG_IGN, [TTIN], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

rt_sigaction(SIGTSTP, {SIG_IGN, [TSTP], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

rt_sigaction(SIGHUP, {SIG_IGN, [HUP], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

rt_sigaction(SIGCHLD, {SIG_IGN, [CHLD], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

readlink("/proc/self/exe", "/opt/hzqzqdmatu", 1023) = 15

clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0) = 21657

exit_group(0)                           = ?

+++ exited with 0 +++

   結果意外出現了，我跟蹤下這個程式，結果它居然自殺了（把自己程式檔案幹掉了),算你狠！！！然後想用netstat看下網路連線情況，結果居然查不到任何對外的網路連線，開始懷疑命令被修改過了。使用stat 檢視系統命令ps  ls  netstat ps pstree等等，修改時間都在6月24日，也就是在6天內，這讓我猛然想起傳說中的rootkit使用者態級病毒！！！！有可能是之前設定了root密碼為123456，又把機器放到過公網上，被人入侵了。來，查一把它在相關路徑中還放了哪些程式：

[root@localhost opt]# find /bin -mtime -6 -type f

/bin/jqdmewpeifrdiz

/bin/zidrfiepwemdqj

/bin/zidrfiepwemdqj.sh

[root@localhost opt]# vim /bin/zidrfiepwemdqj.sh

[root@localhost opt]# find /usr/bin -mtime -6 -type f

/usr/bin/pukhvxslzk

/usr/bin/etwelnhtvu

[root@localhost opt]# find /usr/sbin -mtime -6 -type f

[root@localhost opt]# find /sbin -mtime -6 -type f

[root@localhost opt]# cat /bin/zidrfiepwemdqj.sh 

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp "/bin/zidrfiepwemdqj" "/bin/ebstpmcjbp"

果子實驗告訴你，把這些程式都刪除掉，幾秒後也會自動生成的，所以我們繼續向真相進軍，欲知後事如何，請聽下回分解。