Linux系统BillGates botnet component查杀

前言

BillGates恶意软件针对运行中的linux服务器，其主要目的是感染服务器，将它们连接在一个通过中央 C & C服务器控制的僵尸网络中，指示机器人在目标上发起 DDoS 攻击。根据 Akamai 的安全情报研究小组 (SIRT)，目前黑客的装备已从比较旧的XOR DDoS 僵尸网络装备已经切换到 BillGates 僵尸网路。

安全事件分析及处置

第一次做linux系统的应急响应事件，找到之前收藏的一篇黑客入侵应急排查文章，收益颇多。此次事件是服务器攻击外网别的主机，很有可能是中病毒了。

（参考链接为：https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin。）

1、查看防火墙

首先查看了防火墙上面的日志，发现大量的日志报警信息，均是CPU使用率过高。

和已知情况差不多，服务器和外地一主机进行大量的会话连接，应该是服务器被当作肉鸡对外网别的机器进行攻击。

2、查看服务器

登录上服务器，查看网络相关情况，发现该服务器对外发包68.4TB数据，流量之大让人有些惊讶。

查看进程的详细信息，发现有一个进程占cpu资源非常多，如下图所示。初步判断这是病毒的相关进程，对libstdc进程进行处理，先强制停止该进程，命令为killall-9 libstdc，意为关闭所有名为libstdc的进程，也可后面跟对应的pid号。

找到病毒的所在位置使用find命令，在所有目录下查找find / -namelibstdc，然后删除相关的程序（绿色代表可执行文件）。

使用rm –rf进行删除操作，然而提示没有足够权限。使用lisattr命令发现该程序被赋了i权限（文件不可更改），然后用chattr –i来去除这个属性就可以顺利删除了。删除后不可掉以轻心，病毒很容易再生，所以防止它再生应立刻给该目录赋予i权限，使用chattr +i命令。

3、查看任务计划

查看了任务计划，未发现存在libstdc相关计划任务。

4、查看ssh配置文件

查看了sshd_config文件，不存在信任的木马文件 。

5、查看历史命令

只使用了cd、ls、cat等命令，未发现异常，应该是被黑客抹去了。

6、检查其他后门及病毒

安装rkhunter程序，扫描rootkit文件，使用wget命令，不是默认有的，需要自己安装。

扫描结果如下图所示，发现了BillGates botnet component（比尔盖茨僵尸网络组件）。

去扫描日志/var/log/rkhunter.log中查看可疑文件。找到一些木马后门病毒等，还有木马的启动程序（应该是比尔盖茨僵尸网络的相关组件）。

/tmp/gates.lod

/tmp/moni.lod

/usr/bin/.sshd

/usr/bin/bsd-port/getty

/usr/bin/bsd-port/getty.lock

/etc/init.d/DbSecuritySpt

/etc/rc.d/init.d/DbSecuritySpt

/etc/rc1.d/seclinux

将上面的文件一一删除，删除完以后一定记得要禁止系统服务目录的写入权限：

其中的moni.lod这个可执行文件怎么删除都删不掉，后来采取更改权限来解决，让它无法执行。使用命令为chmod –R 000 moni.lod。

删除相关文件后，进行复扫，复扫结果表明，billgates botnet component已消失。

最后在服务器上，安装了杀毒软件clmava，安装命令为yum -y installepel-release，将主要目录都扫描一遍如/bin、/usr、/etc、/dev、/tmp等。（参考链接：

https://blog.csdn.net/liumiaocn/article/details/76577867。）

总结

刚开始删除病毒的时候忽略了病毒的再生性，当以为删除完了重启机器后发现病毒又存在了，并且又占了cpu的使用率使得机器很卡。后来查看了多篇文章，看到了禁止系统服务目录的写入权限的办法，之后又重新删除一遍病毒以及后门文件。再次重启就一一查看相关目录，相关病毒文件就不存在了。删除完病毒后，别忘记更改系统密码。查看服务器时，看到很多登录失败的信息以及有几个成功登录的信息。删除不掉的文件，有个笨办法就是把文件的权限改为000，这样就算是病毒它也无法执行。希望此篇文章能够帮助到像我一样的小白们少走些弯路。

*本文作者：橙子xx001，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。