一次中DDoS_XOR木馬的經歷

緣起

我的一台linode伺服器主要用來嘗試新的github上的開源軟體，前天晚上被linode警告往外高頻發布ddos攻擊，峰值達到每秒100MB，奇怪的是那天我並沒有做什麼的事情，linode客服咬定是中木馬了。

然後和linode溝通，好不容易能夠解封。遵循linode的建議安裝ClamAV、rkhunter、AIDE、Maldet。

安裝好ClamAV之後，通過clarmAV -r /usr/bin語句掃描，果斷髮現了一些名為DDoS_XOR-1的木馬，特徵為12位隨機字元。查看top，發現佔用資源也較多，符合特徵。

後來我直接重裝伺服器了，反正是實驗機，裡面沒啥有價值的信息。木馬設計得比較有意思，這塊空了研究下。已分析清楚中木馬是弱口令導致的，這是一連串自動化製造botnet的。

經驗教訓

• 伺服器安全，生產機和測試機得分開。
• 生產機不要亂裝東西，尤其github中fork的開源軟體。有可能是別人fork某個熱門軟體之後在裡面加入了病毒/木馬程序。
• 生產機密碼和測試機密碼不要保持一樣的，不要用弱口令尤其是123456。
• 保持警惕，天下有賊...

參考資料

• 《Unix.Trojan.DDoS_XOR-1、Linux.Trojan.Agent（Linux.BackDoor.Gates.5）木馬清理》。
• ClamAV、rkhunter、AIDE、Maldet這些常用linux下殺毒軟體就查google吧。

推薦閱讀：