我并不是在问如何处理受损的盒子。具体来说,我问是否有人有黑客/恶意软件以及其他文件留下文件“/usr/bin/fake.cfg”和“/usr/bin/fuck”的经验。我可以部分地看到它在做什么以及如何做。我意识到最合适的行动方针是断开互联网、抢救、重建。
我很想了解更多有关这次特殊入侵的信息。我不经常被黑客攻击或发现自己处于受感染的机器上——我有这个机会,我想把它变成一个学习机会。
有人经历过这种特殊的入侵吗?任何我可能会看的建议。
一百万年前,联邦调查局曾经保存过此类事情的有用数据库。自911以来,它已经变得毫无用处。
有想法吗?
答案1
出于好奇,我发现了这一点,他们正在讨论恶意软件攻击的分析。
关于假冒和性交,攻击者通常会加载工具来促进他们的工作。
关于fake.cfg,Linux中确实有一个util叫fake。
$apt-cache search fake | grep ^fake
fake - IP address takeover tool
Fake 是一种实用程序,可通过在主机上启动第二个接口并使用免费 arp 来接管 IP 地址。设计用于在 LAN 上切换备份服务器。
所以我确实怀疑伪造可能是一种方式:
- 逃避防火墙规则;
- 到达其他网络;
- 在攻击互联网上的其他服务器时,一次使用网络的多个 IP 生成数据包/垃圾邮件,以逃避黑名单/fail2ban/apache mod evasive。
至于他妈的,目标不太明确。
我找到了这个:
https://github.com/nvbn/thefuck
出色的应用程序,可以纠正您之前的控制台命令。
fun 命令使用规则替换来运行经过修改的前一个命令。我在这里假设它被用作自动化/混淆历史记录/监视攻击者运行的一些实际命令的基本工具。
除了其他人已经提到的调试器之外,为了跟踪他们的活动,我建议使用strace,sysdig或dtrace4linux。它们是跟踪内核调用细节的绝佳工具。
为了跟踪在受损 I/O 中打开的所有文件,您可以运行:
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
监听文件在发生时打开(使用 sysdig)
从:
http://www.sysdig.org/wiki/sysdig-examples/
Sysdig有能力展示一切,包括正在写入的文件的缓冲区或通过网络发送的数据。
不用说,您应该在运行这些命令之前备份并隔离服务器。
答案2
您可以使用它htop来显示其进程树和系统监视器,以查看病毒打开了哪些文件,不同病毒二进制文件之间的链接,并复制所有内容以便您可以使用或反汇编它们Idapro。CuckooGdb
wireshark 可以帮助你看看它是否像metasploit的meterpreter或只是一个机器人
答案3
它的衍生产品:DbSecuritySpt https://github.com/ValdikSS/billgates-botnet-tracker 我在停用服务器时偶然发现了这一点。