網(wǎng)絡(luò)管理技術(shù)分享之linux ddos攻防知識(shí)

2015-10-16 09:27 作者：admin 瀏覽量：

　　對(duì)惡意軟件"Linux/XOR.DDoS" 感染事件分析，該惡意軟件試圖感染真正的linux服務(wù)器。

　　0x01 背景：

　　事件細(xì)節(jié)：

　　攻擊源：通過某種方式監(jiān)控來到攻擊來源107.182.141.40，可以看到這個(gè)ip的一些具體信息。（服務(wù)器維護(hù)外包） 

　　#!bash

　　"ip": "107.182.141.40",

　　"hostname": "40-141-182-107-static.reverse.queryfoundry.net",

　　"city": "Los Angeles",

　　"region": "California",

　　"country": "US",

　　"loc": "34.0530,-118.2642",

　　"org": "AS62638 Query Foundry, LLC",

　　"postal": "90017",

　　"phone": "213"

　　攻擊者登錄通過ssh密碼登錄一臺(tái)linux：

　　#!bash

　　[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625(網(wǎng)絡(luò)維護(hù)服務(wù)公司)

　　[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY]

　　這個(gè)web上的ip信息：

　　#!bash

　　"ip": "198.15.234.66",

　　"hostname": "No Hostname",

　　"city": "Nanjing",

　　"region": "Jiangsu",

　　"country": "CN",

　　"loc": "32.0617,118.7778",

　　"org": "AS11282 SERVERYOU INC",

　　"postal": "210004"

　　通過dig 發(fā)現(xiàn)該ip的一些附加域信息：

　　#!bash

　　;; QUESTION SECTION:

　　;44ro4.cn. IN A

　　;; ANSWER SECTION:

　　44ro4.cn. 600 IN A 23.228.238.131

　　44ro4.cn. 600 IN A 198.15.234.66

　　;; AUTHORITY SECTION:

　　44ro4.cn. 3596 IN NS ns2.51dns.com.

　　0x02 感染的方法，偽裝和總結(jié)

　　通過進(jìn)一步研究惡意軟件，該軟件看起來像是ZIP壓縮文件的惡意軟件，從文件格式上看出像是一個(gè)shell腳本的惡意軟件安裝程序

　　44ro4.cn. 3596 IN NS ns1.51dns.com.

　　[2015-06-23 01:29:43]: Login succeeded [***/***]

　　這是Linux/XorDDOSs，這種惡意軟件的感染后使作為BOT被感染的機(jī)器，遠(yuǎn)程控制的惡意程序，配置，拒絕IP，程序和配置。他們使用的是XOR'ed加密通信，發(fā)送預(yù)先與MD5編碼過程。該惡意軟件的精靈的主要功能是為一個(gè)隱形的DDoS攻擊的僵尸網(wǎng)絡(luò)。

　　這一事件的重要亮點(diǎn)和惡意軟件使用：

　　我們使用用于此惡意軟件感染的基礎(chǔ)設(shè)施 (攻擊者的IP來自美國(guó)主機(jī)，一個(gè)IP用于感染) 總在Linux/XorDDOSs，多個(gè)主機(jī)的使用：四數(shù)控系統(tǒng)。三的人建議是硬編碼在主機(jī)名(有相關(guān)的領(lǐng)域)，從被感染的機(jī)器接收回調(diào)，而其中的主機(jī)充當(dāng)下載服務(wù)器被感染的機(jī)器要求后門下載可疑的惡意文件。 異或加密功能是用現(xiàn)在解密滴，讀取配置文件從遠(yuǎn)程主機(jī)下載(是的，它似乎被下載的配置文件)，并發(fā)送通信數(shù)據(jù)。（it外包）

　　這里是poc：

　　這些是cnc 與kernel的交互信息，這里用到了調(diào)試神器strace.

　　然后通過shell執(zhí)行了如下命令：

　　通過惡意軟件交互分析到的dns請(qǐng)求：

　　tcpdump中的timestamp時(shí)間戳。

　　#!bash

　　08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)

　　08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)

　　08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)

　　08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)

　　艾銻無限是中國(guó)領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無限http://www.qiaojiaju.cn