清除ddos肉雞的過程

    其實這個事情發生在2014年10月份的時候，那個時候就想把經歷寫成博客來着，可是當時任務過多擱置了，固然也不排除我懶的緣由吧！
    最近也是由於在微雲發現我當時保存的肉雞樣本，纔想起如今來寫點什麼， 目前只能憑藉依稀記憶和樣原本寫這篇博客啦。

樣本以下：

好了begin 。。。
    是這樣的，公司內網有一題臺服務器，一個星期到某個時段公司全部機器斷網上不去網的狀況， 正是那是咱們公司是作wifi相關產品，
公司擺了不少路由器作測試，咱們覺得是設備信號干擾之類致使到家上不去網也就沒有太大關注。
    可是這種事情發生多了，並且還蠻有規律的，我就意識到是否是中了ddos肉雞植入（由於本身以前寫過肉雞、主控對DDOS機制還比較瞭解）。
第一反應就是公司有臺Linux服務器開了弱密碼的SSH遠程鏈接（內網花生殼映射出去的）， 當時是給作硬件開發者專門用來遠程編譯的路由器固件（openwrt）的ubuntu服務器。

登錄那臺服務器用ifconfig命令查看網卡信息，果真eth0網卡流量走了幾個T的（嚇死寶寶了），這樣就能肯定是DDOS肉雞了。

根據本身對DDOS的瞭解，DDOS通常都會修改/etc/crontab任務啓動表用來定時啓動肉雞程序，打開以下：

這下有線索了， 查看scon.sh文件，糾結是怎麼肉雞啓動的、以及肉雞的位置。

因爲內容太長， 中間省略一些。。。。

發現肉雞對iptables修改以下：

經過以上腳本能夠發現程序名和位置：
當時很高心算是找到肉雞了。
用ps -ef|grep pstart, 確實也能看到進程是存在的。

當時處理的是：
一、rm /var/opt/lm -rf，把肉雞刪除。
二、把服務器ssh改爲非22端口和密碼用mkpasswd工具生成複雜密碼。
三、清除/etc/crontab被肉雞修改部分。
四、清空iptables規則， iptables -F 、 iptables -t nat -F。
五、殺掉肉雞進程：pkill -9 pstart
    當時特別高興覺得本身真的就這樣把肉雞幹掉了。

    但事情尚未完， 過了次日又出現了，仍是間歇性斷網， 我重複上述操做發現發現流量仍是幾百G。

當時在想：
一、難道又是被注入了？不可能啊， 個人密碼足夠複雜啊，（用mkpass工具生成的）。
二、難道有殘留肉雞？

那應該是第二種可能了，應該是沒有徹底清除掉，其餘地方確定還有隱藏殘留肉雞再製做肉雞的，那怎麼查到殘留的肉雞呢？
步驟：
一、通常Linux啓動項目， 通常會讀取/etc下配置文件，來啓動相關程序。
二、肉雞程序名叫pstart，那麼/etc下確定存在相關製做pstart的腳本或者程序。
三、當時/etc下面那麼多文件， 怎麼找呢，一個一個打開查找嗎？固然不可能的。
四、因爲使用的也是Linux，平時常常會在代碼結構下經過find、grep查詢關鍵詞，對查找命令已經很是熟悉了， 哈哈。
五、執行命令： find /etc/ -type f| xargs grep 「pstart」， 檢索到關於pstart相關的腳本：

 
    後面還有一部分部分，考慮到比較敏感就省略吧。。。。

如上，原來在/etc/profile.d/iislog裏面還有一段腳本， 就是用來恢復肉雞的腳本。經過如上不難發現肉雞的真實位置了：/bin/.iptab{1-2}。

好了， 如今要作的工做就是： 一、刪除原始肉雞：iislog、/bin/.iptab{1-2}以及/var/opt/lm了。 二、重複第一次刪除運行的肉雞pstart。 三、重啓服務器。 ========== END==========