前段时间的一次样本,需要给出专杀,应急中遇到的是linux中比较常见的两个家族gates和xor。

首先是xor的专杀脚本,xor样本查杀的时候需要注意的是样本的主进程和子进程相互保护(详见之前的xor ddos分析http://www.cnblogs.com/goabout2/p/4888651.html),想要杀掉的话,需要先通过kill –stop挂起主进程,再删除其他的文件,但是由于xor的进程名是随机值,同时主机上还有有gates木马(gates最显著的特征就是会替换系统文件ps,lsof,ss,netstat),因此为了避嫌,脚本必须隔离系统命令。

此处通过的是遍历/proc/pid/maps文件获取所有进程对应的程序路径,通过该路径与特征值匹配出的路径对比,从而确定主进程的pid。

import os

import re

import sys

import time

# property of the virus

sigin = "m4S4nAC/nA"

filepath = "/boot/dingzhi_random_10_word1;/lib/udev/udev"

delpath = "/etc/cron.hourly/cron.sh;/etc/init.d/fromdingzhi_"

#read file

def readfile(path):

    file = open(path)

    try:

        content = file.read()

    finally:

        file.close()

    return content

#scan the filesystem in the os with specify eigenvalue

def scanforeigen(path,word):

    for filename in os.listdir(path):

        fp = os.path.join(path,filename)

        if os.path.isfile(fp):

            print fp

            with open(fp) as f:

                for line in f:

                    if word in line:

                        print "find in the file:" + fp

                        return fp

                        break

        elif os.path.isdir(fp):

            scanforeigen(fp,word)

#check the specify dir thrugh property return the path in a lis

def check():

    targetlist = []

    bootfile = scanforeigen("/boot",sigin)

    if bootfile is not None and bootfile != '':

        bootfilename = bootfile.split("/")[-1]

        if len(bootfilename) == 10 and re.match('^[a-z]+$',bootfilename):

            targetlist.append(bootfile)

    libfile = scanforeigen("/lib/udev",sigin)

    if libfile is not None and libfile != '':

        libfilename = libfile.split("/")[-1]

        if libfilename == "udev":

            targetlist.append(libfile)

    return targetlist

def kill():

    itemlist = []

    targetlist = check()

    print targetlist

    boot = targetlist[0]

    print "boot is " + boot

    bootname = boot.split('/')[-1]

    for itemnum in os.listdir("/proc"):                   #throught the filename to find the pid and return

        if itemnum.isdigit():

            print "the dir is " + itemnum

            path = "/proc/" + itemnum + "/maps"

            print path

            mapscontent = readfile(path)

            if bootname in mapscontent:

                print "the pid of the " + bootname + " is " + itemnum

                itemlist.append(itemnum)

    print itemlist

#stop the father process

    for item in itemlist:

        print "item is " + item

        cmd = "kill -STOP " + item

        os.popen(cmd)

        time.sleep(5)

        print "going sleeping"

#delete the file

    for target in targetlist:

        print "del the" + target

        cmd = "rm " + target

        os.popen(cmd)

    dellist = delpath.split(';')

    for delfile in dellist:

        print "the delfile" + delfile

        if delfile.split('/')[-1] == "fromdingzhi_":

            delfile = delfile.replace("fromdingzhi_",bootname)

        print "del the " + delfile

        cmd = "rm " + delfile

        os.popen(cmd)

#kill the process

    cmd = "kill -9 " + item

    print cmd

    os.popen(cmd)

if __name__ == '__main__':

#list = check()

    if sys.argv[1] == "-check":

        list = check()

    elif sys.argv[1] == '-kill':

        kill()

对于gates木马需要注意的是,样本运行第一次的时候的文件不会删除,通过二进制分析的时候是获取不到该样本的路径的,索性该处的路径保存在/etc/init.d/DbSecuritySpt的启动文件中。

import os

import sys

import time

#linux.tragon.bill.gates

sigin = "88FD2FE8EF8D51263B037677FD30F25CBFEB57F759F711FB41956288A85E9655F"

initpaht = "/etc/init.d/selinux;/etc/init.d/DbSecuritySpt"

filedir = "/usr/bin;/usr/sbin;/bin;/usr/bin/bsd-port;/usr/bin/dpkgd"

filepath = "/usr/bin/.sshd;/usr/bin/bsd-port/getty"

delpath = "/usr/bin/ps;/usr/bin/ss;/usr/bin/lsof;/usr/bin/netsata;/usr/sbin/ps;/usr/sbin/ss;/usr/sbin/lsof;/usr/sbin/netsata;/bin/ps;/bin/ss;/bin/lsof;/bin/netsata;/etc/init.d/selinux;/etc/init.d/DbSecuritySpt;/tmp/moni.lod;/tmp/gates.lod;/usr/bin/bsd-port/getty.lock"

configfile = "/tmp/moni.lod;/tmp/gates.lod;/usr/bin/bsd-port/getty.lock"

findlist = []

#read file

def readfile(path):

    file = open(path)

    try:

        content = file.read()

    finally:

        file.close()

    return content

#scan the filesystem in the os with specify eigenvalue

def scanforeigen(path,word):

    for filename in os.listdir(path):

        fp = os.path.join(path,filename)

        if os.path.isfile(fp):

            print fp

            with open(fp) as f:

                for line in f:

                    if word in line:

                        print "find in the file:" + fp

                        findlist.append(fp)

                        return fp

        elif os.path.isdir(fp):

            scanforeigen(fp,word)

#check the specify dir thrugh property return the path in a lis

def check():

    targetlist = []

    dirlist = filedir.split(";")

    for dirpath in dirlist:

        checkfile = scanforeigen(dirpath,sigin)

        '''

        print "the checkfile is :"

        print checkfile

        targetlist.append(checkfile)

        '''

#start kill

def kill():

    piddic = {}

    check()

    print findlist

    #get pid

    if findlist is not None:

        conflist = configfile.split(";")

        for confpath in conflist:

            content = readfile(confpath)

            print "the path " + confpath + "content is " + content

            piddic[confpath] = content

        print piddic

    #get the filepath restart by DbSecuritySpt

    specialpath = readfile("/etc/init.d/DbSecuritySpt")

    specialpath = specialpath[12:]

    print "dd" + specialpath

    #stop the process in the pidlist

    for key in piddic:

        cmd = "kill -STOP " + piddic[key]

        os.popen(cmd)

    #start to delete the file

    delfile = delpath.split(";")

    for delfielpath in delfile:

        cmd = "rm " + delfielpath

        os.popen(cmd)

    cmd = "rm " + specialpath

    os.popen(cmd)

    cmd = "cp /usr/bin/dpkgd/ps /bin"

    os.popen(cmd)

    cmd = "cp /usr/bin/dpkgd/ss /bin"

    os.popen(cmd)

    cmd = "cp /usr/bin/dpkgd/lsof /bin"

    os.popen(cmd)

    cmd = "cp /usr/bin/dpkgd/netstat /bin"

    os.popen(cmd)

    for key in piddic:

        cmd = "kill -9 " + piddic[key]

        os.popen(cmd)

if __name__ == '__main__':

#list = check()

    if sys.argv[1] == "-check":

        list = check()

    elif sys.argv[1] == '-kill':

        kill()

xor和gates的专杀脚本的更多相关文章

  1. DedeCMS顽固木马后门专杀工具V2.0实现方式研究

    catalog . 安装及使用方式 . 检查DEDECMS是否为最新版本 . 检查默认安装(install)目录是否存在 . 检查默认后台目录(dede)是否存在 . 检查DedeCMS会员中心是否关 ...

  2. 【旧文章搬运】PE感染逆向之修复(Serverx.exe专杀工具出炉手记)

    原文发表于百度空间,2008-10-4看雪论坛发表地址:https://bbs.pediy.com/thread-73948.htm================================== ...

  3. DesktopLayer.exe专杀

    这两天发现电脑卡慢. 同事电脑发现病毒,而后装上杀软后(一直在裸奔~~~),发现自己电脑也存在. DesktopLayer.exe 会有以下几个行为: 第一,会在C:\Program Files (x ...

  4. 病毒木马查杀实战第011篇:QQ盗号木马之专杀工具的编写

    前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的 ...

  5. 病毒木马查杀实战第017篇:U盘病毒之专杀工具的编写

    前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具. 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专 ...

  6. r0capture安卓应用层通杀脚本-使用文档

    本文所有教程及源码.软件仅为技术研究.不涉及计算机信息系统功能的删除.修改.增加.干扰,更不会影响计算机信息系统的正常运行.不得将代码用于非法用途,如侵立删! r0capture安卓应用层通杀脚本-使 ...

  7. [转帖] securebootthemes 挖矿病毒的说明 http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/ 原文为毛不给一个专杀工具呢.

    MsraMiner: 潜伏已久的挖矿僵尸网络 2017 年 11 月底,我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常.经过我们深入分析,确认这背后是一个从 2017 年 ...

  8. 数列[专杀Splay版]

    时间限制: 3 Sec  内存限制: 128 MB提交: 49  解决: 7 题目描述 输入一个数列,你需要进行如下操作:  1. 把编号为I的数值改为K  2. 输出从小到大排序后第k个数 输入 输 ...

  9. 【转】BAT 批处理脚本 教程

    第一章 批处理基础第一节 常用批处理内部命令简介批处理定义:顾名思义,批处理文件是将一系列命令按一定的顺序集合为一个可执行的文本文件,其扩展名为BAT或者CMD.这些命令统称批处理命令.小知识:可以在 ...

随机推荐

  1. usr/include/dispatch - dispatch_source

    博文一部分摘自:Parse分析,以下简称博文1(LeanCloud工程师针对Parse使用GCD的分析) 博文一部分摘自:GCD入门,以下简称博文2 建议先了解一下:BSD基础知识 在Dispatch ...

  2. C# 的tcp Socket设置自定义超时时间

    简单的c# TCP通讯(TcpListener) C# 的TCP Socket (同步方式) C# 的TCP Socket (异步方式) C# 的tcp Socket设置自定义超时时间 C# TCP ...

  3. [Unity3d]调试问题之UI/Image不显示

    问题描述 在项目中添加的UI/Image资源,在PC和通过Unity Remove测试都没有问题: PC上的效果 手机上Unity Remove测试结果 可真正发布到手机上运行则如下显示,说明imag ...

  4. Spring实现初始化和销毁bean之前进行的操作,三种方式

    关于在spring  容器初始化 bean 和销毁前所做的操作定义方式有三种: 第一种:通过@PostConstruct 和 @PreDestroy 方法 实现初始化和销毁bean之前进行的操作 第二 ...

  5. codevs3250 操作序列

    题目描述 Description Petya是一个非常好玩孩子.他很无聊,因此他开始玩下面的游戏: 他得到一个长度为N的整数序列,他会对这些数字进行操作,他可以把某个数的数值加1或者减1(当然他可以对 ...

  6. tomcat乱码原因--基本的编码问题

    tomcat乱码原因:在学习servlet时候,经常会遇到中文乱码的问题,网上查只知道如何设置不乱码,其中的原理不是很明白.我认为明白其中的原理,乱码问题就很容易解决 tomcat乱码解决方法: po ...

  7. MySQL Cluster 集群简介

    简介 MySQL集群是一种在无共享架构(SNA,Share Nothing Architecture)系统里应用内存数据库集群的技术.这种无共享的架构可以使得系统使用低廉的硬件获取高的可扩展性. My ...

  8. 用原生js实现的链式调用函数

    <!doctype html><html lang="en"><head> <meta charset="UTF-8" ...

  9. Java连接mysql数据库并插入中文数据显示乱码

    连接数据库设置编码 jdbc:mysql://地址:3306/数据库名?characterEncoding=utf8

  10. python之路七

    静态方法 通过@staticmethod装饰器即可把其装饰的方法变为一个静态方法,什么是静态方法呢?其实不难理解,普通的方法,可以在实例化后直接调用,并且在方法里可以通过self.调用实例变量或类变量 ...