今天來說說這個(gè)木馬（Linux.BackDoor.Gates.5），很是煩人，已經(jīng)中招三次了，這次才找到原因，原來是apache的activemq消息隊(duì)列的漏洞導(dǎo)致，有個(gè)致命漏洞，搜索了一下大概漏洞剛出來的時(shí)候賞金在3500$, 攻擊者通過api在程序默認(rèn)的webapps目錄下面寫入了兩個(gè)jsp文件, 也是大意沒有把默認(rèn)的程序刪除，以此謹(jǐn)記。

早上在馬哥公眾號(hào)看到另一個(gè)同行中招，寫下他的捉馬記，原地址wangzan18.blog.51cto.com/8021085/1740113

哪知下午也中招，其實(shí)作者寫的過程很詳細(xì)，但是我感覺有些瑕疵，先把webapp目錄干掉，把后門切斷，再來捉馬，木馬產(chǎn)生了很多進(jìn)程，把原生命令給替換了，這里不要上來就殺進(jìn)程，否則就是災(zāi)難，先找出有哪些運(yùn)行中的進(jìn)程，找到它們的位置，最好是一次找到全部刪除的同時(shí)并用chattr +i 鎖定目錄，讓它不能繼續(xù)產(chǎn)生文件，然后再一次批量殺死進(jìn)程,把它替換的系統(tǒng)命令 ps netstat lsof ss 全部刪除 然后從其他同版本系統(tǒng)上cp過來。

rm /usr/bin/dpkgd/ /usr/bin/bsd-port/ /usr/bin/.sshd /tmp/gates.lod /tmp/moni.lod -rf && chattr +i /usr/bin/

rm /etc/rc.d/init.d/DbSecuritySpt /etc/rc{1,2,3,4,5}.d/S97DbSecuritySpt /etc/rc.d/init.d/selinux /etc/rc{1,2,3,4,5}.d/S99selinux -rf

rm /etc/init.d/DbSecuritySpt -rf && chattr +i /etc/init.d/

rm /tmp/gates.lod /tmp/moni.lod -rf && chattr +i /tmp

找到木馬進(jìn)程 for i in 6049 6593 1463 1476 1508;do kill -9 $i;done

yum reinstall procps net-tools lsof iproute -y ?被替換的命令就是這四個(gè)包生成的，重新安裝一下 如果不行從其他 機(jī)器上cp過來。

之前兩個(gè)都是直接重裝了系統(tǒng)，雖然影響不大，但是沒找到原因還是不痛快，這下知道病癥就好下藥了，特此記錄一下。