首页 / 域名 / 正文

一个存活的XOR.DDOS僵尸网络攻击案例分析

发布时间：2018-09-09 18:10:52 内容来源：本站原创阅读数：800

1、意外之旅

我们在对电信一次在线设备调测过程中，命令行操作停顿，感觉网络不稳定。检查设备网卡进出包，发现千兆链路基本占满，该机器只是一台权威，不应该有过多流量，而且是单方向的

询问用户是否特殊应用，获得否定回答后，决定检查设备本身，这是一台linux服务器，配置千兆出口。检查异常进程top（截图没有保留）将cpu占用大的非系统关键进程杀掉（当时显示是uptime），流量恢复正常，但是很快就会恢复，尝试多次杀掉，类似进程；

检查crontab：

检查启动目录里面异常文件：

找到可执行程序，做了备份可执行程序为keyi，同时将keyi文件备份到了/tmp下面，手工执行测试随机文件名的程序，发现会自动清除该文件（包括自己命名的keyi，也会被清理）；

2、980Mbits的流量是什么

抓包分析发现全部是到192.1.1.2的TCP攻击

抓包分析发现每次杀掉进程，在程序会自动更改文件名，重新启动的时候会发送dns查询，dns请求目的ip为8.8.8.8和114.114.114.114，两个公共DNS

针对控制端ip xxx.224.51.164抓包分析控制过程，发现每次进程重启，均会到控制端领取攻击指令，并对可使用伪造ip地址段做测试验证，首先会在主机所在C网段内尝试，然后扩展到整个B类地址，然后尝试B类外的几个ip

确定可用ip段后，再领取具体的攻击任务

最终实施攻击

首先清除/etc/rc3.d,crontab,里面的配置文件，然后清除/boot和/etc/init.d下面的可执行程序，检查可能存在改程序副本的其它环境，最终全部清理干净，并对系统做安全加固和访问控制。

联通北方对公共DNS做了管控，通过对其dns日志做分析，发现两个ip具有类似现象，访问过控制段域名，联系相关运维部门配合，确认两个客户均为专线客户，检查其专线出口确实出现链路占满的情况，其中一个专线客户应该是自己做了病毒查杀（端口占满几天后，就恢复了）；

截至2016.3.7，该控制端域名依然可以访问，应该控制者还在利用这样的手段，控制着运营商网内部分僵尸机器，如果这样的机器直接存在在运营商核心机房，带宽充分，则可能在联通网内具有数十甚至上百Gbits的攻击能力；

如果可能，是否可以在各省对出口到公共dns的流量做监控分析，以确认联通网内这个僵尸网络的规模，避免大量流量攻击占用宝贵的国际出口带宽。

标签：僵尸网络 dns 域名

上一站点： SEO数据查询工具有哪些？

下一站点：如何注销域名的备案信息？