一個月內發現的第六起 Linux DDoS 木馬
Linux 使用者又有一個木馬需要苦惱了,就像以往一樣,這些壞蛋大多部署在被劫持的 Linux 系統上,並在接受到命令後發起 DDoS 攻擊。
發現了這件事的 Dr.Web 的安全研究人員說,木馬似乎是透過破殼漏洞感染的這些 Linux 機器——現在仍然有很多裝置沒有補上這個漏洞。
該木馬被命名為 Linux.DDoS.93,它首要會修改 /var/run/dhcpclient-eth0.pid 這個檔案,並透過它在計算機啟動時執行。如果該檔案不存在,就會自己建立一個。
當該木馬執行起來以後會進行初始化,它會啟動兩個程式,一個用於與 C&C (控制)伺服器通訊,另外一個用於確保木馬的父程式一直執行。
該木馬啟動 25 個子程式進行 DDoS 攻擊
當控制該木馬網路的攻擊者發起攻擊命令時,這個木馬會啟動 25 個子程式來進行 DDoS 攻擊。
當前,該木馬可以發出 UDP 洪泛(針對隨機或特定埠),TCP 洪泛(簡單的包,或給每個包隨機增加至多 4096 位元組的資料)和 HTTP 洪泛(透過 POST、GET 或 HEAD 請求)。
而且,該木馬還能自我更新、自我刪除、終止自己的程式、ping、從 C&C 伺服器下載和執行檔案。
當它發現某些名字時會關閉
這個木馬還包括一個功能,如果在掃描計算機記憶體並列出活動的程式時發現如下字串會關閉自己:
privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller
這些字串大多數與資訊保安領域有關,似乎是為了防止安全研究人員的反向工程研究,或者是為了避免感染該惡意軟體作者自己的機器。
在感染過程中,該木馬也會掃描它的舊版本,並會關閉舊版本然後安裝一個新的。這意味著這是一個自動更新系統,該木馬的最新版本總是會出現在被感染的機器上。
Linux 是過去一個月以來最熱門的木馬攻擊平臺,在最近 30 天內,安全研究人員已經發現、分析和曝光了其它五個 Linux 木馬: Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。
相關文章
- WireShark駭客發現之旅(8)—針對路由器的Linux木馬路由器Linux
- 一個簡單木馬分析及接管利用
- linux下查詢php木馬LinuxPHP
- 分析關於木馬隱藏一個的新方法(轉)
- CrossRAT 木馬通殺 Windows、MacOS、LinuxROSWindowsMacLinux
- 研究人員在Google Play商店發現新的銀行木馬Go
- 記錄一次木馬排查
- 一個顯為人知的木馬隨程式啟動的方法(轉)
- BetaBot 木馬分析
- 木馬逆向分析
- 萌新之php一句話木馬PHP
- Mac OS X 驚現最危險木馬Mac
- 那些年困擾Linux的蠕蟲、病毒和木馬Linux
- linux下和windows下如何防止php木馬LinuxWindowsPHP
- 解析利用BitTorrent發起DDoS放大攻擊的原理
- 記一次Linux伺服器上查殺木馬經歷Linux伺服器
- 安全“高手”幫你把木馬殺個片甲不留
- Linux挖礦木馬WorkMiner集中爆發,利用SSH暴力破解傳播Linux
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- [開發教程]第35講:Bootstrap旋轉木馬boot
- 一次Linux伺服器被入侵和刪除木馬程式的經歷Linux伺服器
- 色情捆綁木馬:起底軟體下載三大新陷阱
- 快速定位挖礦木馬 !
- PHP一句話木馬深度詳細剖析PHP
- 安卓現盜號木馬威脅網銀盜刷安卓
- "綠色"並不代表安全,一個隱藏在綠色軟體中的木馬分析
- 從剖析cs木馬生成到開發免殺工具
- 分離帶木馬檔案的方法
- 用工作管理員揪出暗藏的木馬
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 盜號木馬分析報告
- iexpress全力打造“免檢”木馬Express
- 遭遇 木馬 srpcss.dllRPCCSS
- 木馬問題解決方案
- “Linux”小程式釋出一個月後,我們發現了什麼Linux
- linux伺服器上使用find查殺webshell木馬方法Linux伺服器Webshell