第一步，打开网络拓扑，启动实验虚拟机，查看虚拟机IP地址：

Centos Linux

 

第二步，进入靶机服务器CentOS Linux，调用实验环境。使用docker images命令查看靶机服务器上的Docker镜像环境，找到本次实验使用的镜像centos5，使用命令启动centos5镜像的靶机环境：

docker images

docker run --privileged=true –it centos5 /bin/bash

 

第三步，查看当前虚拟环境的系统，及其所处的目录：

1）使用lsb_release –a命令查看系统ID信息，返回报错，说明这是一个CentOS系统，使用uname –m命令查看系统位数为64位：

lsb_release -a

uname -m

 

2）使用pwd命令查看当前所在的目录，输入cd /root进入root目录，使用ls命令列出root目录下的文件，存在名为start.sh的启动脚本：

pwd

cd /root

ls

 

第四步，启动虚拟环境中的木马程序：

./start.sh

 

第五步，查看系统的进程信息：

1）使用ps –aux查看所有进程，经过排查我们发现了一个可疑进程，进程PID为33：

ps -aux

 

2）使用kill 33命令结束可疑进程：

kill 33

 

第六步，确定可疑进程为木马程序：

1）使用ps –aux命令查看所有进程，准备排查其他进程时，发现刚才的可疑进程仍在运行，进程的PID为107649：

ps -aux

 

2）使用kill -9 107649强制结束进程：

kill -9 [木马进程PID]

 

3）再次使用ps –aux命令查看所有进程，该进程依旧没有被结束掉，仍在系统中运行。这时候基本可以判定，这是一个顽固的木马程序。木马程序很可能是要进行网络通信的：

ps -aux

 

第七步，查看本机Socket连接找到可疑的端口：

使用netstat –a命令查看本机的所有Socket连接，连接数量较多，经过排查后，找到一个不常用的端口4257，这个端口侦听在本机的所有接口，并且允许任意的远程连接进行连接：

netstat -a

 

第八步，根据端口号找到占用的进程ID：

使用lsof –i:4257命令，发现4257端口被进程ID为57704的程序占用：

lsof -i:4257

 

第九步，确定木马进程所使用的端口号：

使用ps –aux查看所有进程，发现进程ID为57704的进程kill不掉的木马进程。由于木马无法kill掉，而且木马还在进行Socket连接，传输服务器的敏感信息，所以我们使用防火墙iptables设置规则，让木马离线无法进行远程通信：

ps -aux

 

第十步，配置iptables防火墙使木马离线：

使用命令iptables –t filter –A OUTPUT –m state –state NEW –j DROP通过iptables在output链上做限制，将从出口带宽状态为new的全部丢弃掉。使用ping命令测试无法正常使用，此时服务器已经离线：

iptables –t filter –A OUTPUT –m state –state NEW –j DROP

ping 8.8.8.8

 

第十一步，找到木马程序的父进程，分别结束掉父进程和木马进程：

1）使用ps –ef命令发现可疑进程的父进程PIID为26，并且还发现可疑进程一直在不断的变换自己的进程PID：

ps -ef

 

2）再次使用ps –ef命令查看所有进程，找到可疑进程的父进程：

ps -ef

 

3）使用kill 26结束木马父进程：

kill [木马父进程PID]

ps -ef

 

4）结束失去父进程的木马僵尸进程：

kill [木马僵尸进程PID]

 

子进程是木马程序的核心功能，一般负责侦听一个端口，反弹一个Shell实现远程操作的核心逻辑，父进程通常负责子进程的安全，其核心功能是时刻监测子进程是否被杀，如果被杀就重新启动，或者延时重新启动。

第十二步，系统加固，找到木马进程及其父进程的路径：

使用./start.sh命令重启木马环境，使用ps –ef命令发现木马进程的父进程还有父进程，接着分别找到木马进程的父进程及其父进程的父进程的路径：

./start.sh

 

ps -ef

 

 

2）使用ls /usr/bin/vifa命令和ls  /usr/bin/virson命令分别查看木马程序和守护程序：

ls /usr/bin/virfa

ls /usr/bin/virson

 

第十三步，找到木马程序病原体：

根据我们的经验，通常木马程序的守护程序都是用Shell脚本写的，而木马程序都是用其他语言写好编译成二进制文件的，至于为什么要这样做，是因为简单快速，所以我们可以阅读守护程序的代码。

使用cat /usr/bin/virfa命令查看守护程序的代码，经过阅读找到了木马程序的病原体文件是/opt/virsou.sh。

cat /usr/bin/virfa

 

第十四步，依次查杀木马进程的父进程的父进程、木马进程的父进程、木马进程：

1）使用kill 23命令查杀木马进程的父进程的父进程：

kill [木马父进程的父进程PID]

 

2）使用kill 72713命令和kill 72726命令分别查杀木马进程的父进程和木马进程：

kill [木马父进程PID]

kill [木马进程PID]

 

第十五步，依次删除木马程序，木马程序的守护程序，木马程序的源文件：

1）使用rm –rf /usr/bin/virfa命令和rm –rf /usr/bin/virson命令依次删除木马程序的守护程序和木马程序，并使用ls /usr/bin | grep vir*命令查看确认已经全部删除：

rm -rf /usr/bin/virfa

rm -rf /usr/bin/virson

ls /usr/bin | grep vir*

 

2）使用ls /opt/virsou.sh命令查看木马程序的病原体文件，使用rm –rf /opt/virson命令删除木马程序的病原体文件。

ls /opt/virsou.sh

rm -rf /opt/virsou.sh

 

实验结束，关闭虚拟机。