文章总结： 本文记录了一次针对服务器对外DDoS攻击的应急响应过程。分析发现服务器遭SSH暴力破解入侵，攻击者植入Ganiw家族远控木马。排查中发现木马篡改ps等系统命令以隐藏进程，通过还原系统命令路径成功定位并清除威胁。最终确认服务器沦为BillGates僵尸网络节点，建议客户格式化重装系统以彻底清除隐患。 综合评分： 88 文章分类： 应急响应,实战经验,恶意软件

。

抓两下脑壳嘛就开始思考：既然是主动发起，那肯定是已经遭了嘛，服务器已经被植入病毒/木马的，不然咋个主动发起喃？于是乎通过xshell连上去，直奔/var/log/secure日志目录，看看能不能找出什么登录信息之类的，没想到嘿还真有发现。

通过查看/var/log/secure发现有大量的ssh登录失败的日志，于是乎想着统计一下有多少攻击量

grep -E "Failed password|Invalid user" /var/log/secure* | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" | sort | uniq -c | sort -nr | head -n 10

嗯，果然不少，第一名的IP地址攻击了5300多次，最后一名也攻击了1100多次。

。

因为看到了通报的内容，里面提到了该服务器被境外控制并且通报中提到了控制端IP地址，想着抓包看看有没有啥收获，用tcpdump抓包一看，还真有，一直有通联，在发40字节左右的数据包。

，通抓包得知本地是47932端口在于服务端进行通信，思路是通过ss -tunlap查看所有连接，然后用grep 选出建立连接ESTAB状态的，在过滤IP地址，在过滤目的通信IP地址，通过咔咔一顿操作发现是一个PID为10512的进程，进程名为amd64，一看这名字就不正常。

。

上边找到了进程名，先用ps -ef | grep “amd64″看一下这个木马文件在那个路径下，结果竟然没有呀，搞的小石我呀当时就蒙圈了，难道它有魔法？咋就没有呢。这时候我脑子灵机一动会不会是木马篡改了系统命令，我用的这个命令是篡改后的，不是系统自带的ps了，那就用which瞧瞧吧，结果还真是的

。

完结，撒花！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小石学习笔记 小石同学 小石同学《记一次应急响应处置过程》