背景：
申请了5台机器来测试elasticsearch集群，机房说机器一直在往外发包。
因为其中的一台配置了环境，不想重装，只好硬着头皮手动清理。

简单查杀：
top查看，很明显有个名为/root/46000的进程，根据经验肯定就是木马。杀之！
过了会儿又有了，我想应该是有监控进程。

通过找最近修改文件find / -size +1000000c -mtime -1，发现一些系统程序被替换了。

更精确定位 find / -size 1135000c -mtime -1

/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof

这些就是了，从另一台copy过来，最后清理

/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt

并杀掉相关进程
经验相当丰富啊

我觉得关键在于这些文件怎么进来的？不堵上下次还能再换

可能是elasticsearch (CVE-2014-3120)

我以前第一次弄elasticsearch 的时候中过招。

要是病毒把find ls都换了会咋样。。。

我在想ps都换了，怎么不换呢

手抖了，是“怎么不换top呢”

你们说的，我怎听不明白。 只知道TOP。

可以传一个 busybox

find, ls 都替换。。。好思路。。。大家都好邪恶。。。

这个 Rootkit 明显写得不合格，差评。

你是不是用了wdcp

既然 被替换了系统文件 应该是中了rootkit吧 但是 还能使用top 明显 这个 不合格 同样差评



只用htop...

最近好多人都中了这个……

没查明是怎么中的吗？

我也有遇到过，不管是win还是lin都是这个DbSecuritySpt

看了个半懂。最后清理的文件是怎么找出来的？前几天我do上的翻墙机也中了，最后只能重装啊。求指点。

根据描述 应该是这个木马 或者衍生
http://news.drweb.cn/show/?i=230&lng=cn&c=5
"如果在配置文件中设置有标志g_bDoBackdoor，木马同样会试图打开/root/.profile文件，检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段，Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本，命名为配置文件中设置的相应名称，并取代下列工具：
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
确实只替换了这些程序 不设计 top find

真是好思路。。。。不得不赞一个。。。

求样本

我之前也帮别人清理过这个, 样本在这里 http://cl.ly/0Z3b3X1c2Y0Y

其实原始文件在 /usr/bin/dpkgd/ 下面......

赶紧去过看看

居然没有替换ls，差评不解释……
我还在学校的时候，一个将unix入门的老师，一个可爱的小老头就给我们演示过一个很简单但是很nb的“病毒”，自动发作，各种方式无法根除…骗了我们好几天，后来发现这个“病毒”方法很简单……
1. 把.目录加入到PATH的最前面
2. 在大家登录用户~下增加一个被替换过的ls(执行后会替换各种常用命令, ifconfig, ps啥的，最后再执行原始的`ls`，顺便在结果里抹去这个`~/ls`文件存在的痕迹……)
3. 嗯，然后就没有然后了……

我也好奇这种是怎么中的,不知道是直接运行来源有问题的安装文件还是怎么搞的

elasticsearch 远程代码执行。

陈哥QQ多少 :)

这都太低级了，应该搞个内核模块来隐藏木马文件。。。

以前弱口令也中过一次招
对方要隐藏到各个文件夹里随意改个名你很难查出来的
我觉得最好的还是重装系统。。。。

这个文件也更改了
/usr/bin/chattr