首页
社区
课程
招聘
[讨论]昨天在一台linux服务器发现一个ddos病毒
2016-1-12 21:39 5697

[讨论]昨天在一台linux服务器发现一个ddos病毒

2016-1-12 21:39
5697
昨天发现linux系统被阿里云报警syn_flood攻击,找到一个ddos木马,一直攻击英国政府部门。
大致分析了下动作:
0. syn_flood 攻击 多个欧洲政府部门网站。
1. 随机产生10位字符串,同时存在2个进程,互相守护。
2. 添加启动项,定时更新启动项内容,拷贝文件到: /usr/bin  /root/bin  /tmp  
3. 好像还hook了一个系统api (我写了个脚本,干掉了所有病毒进程,文件和启动项,观察1小时,没有任何异常发包,但是执行ls命令后,很快又开始发包。推测是hook了系统api)

发个病毒样本

[培训]《安卓高级研修班(网课)》月薪三万计划

上传的附件:
收藏
点赞1
打赏
分享
最新回复 (8)
雪    币: 273
活跃值: (85)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
chsml 1 2016-1-12 23:18
2
0
黑客真厉害,LS命令使用之后又能满血复活
雪    币: 22
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kulouwang 2016-1-13 10:52
3
0
厉害啊。要学习啊。
雪    币: 102
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wanggh 2016-1-13 11:08
4
0
可能是库文件被污染了,或者rookit类型的病毒。老实说,我还没遇到过linux下的病毒呢,要先找一下,如何入侵到你的系统的
雪    币: 149
活跃值: (126)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
robey 1 2016-1-13 11:21
5
0
xorDos木马,rootkit类型,请看这:http://www.aptno1.com/YC/102.html
文中提到解密密钥


你提供的文件解密密钥
上传的附件:
雪    币: 337
活跃值: (133)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 2 2016-1-13 13:12
6
0
[QUOTE=robey;1411408]xorDos木马,rootkit类型,请看这:http://www.aptno1.com/YC/102.html
文中提到解密密钥


你提供的文件解密密钥
[/QUOTE]

好腻害
雪    币: 28
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
蓝道子 2016-1-13 14:12
7
0
攻击 多个欧洲政府部门网站 ...应该是所为
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
goddkiller 2016-1-13 15:27
8
0
LZ的这个病毒的分析文如下:

http://blog.malwaremustdie.org/2014/09/mmd-0028-2014-fuzzy-reversing-new-china.html#

文章作者应该是日本人,这货应该追踪类似的软件很久了(天天看他发TWITTER。。。。)

另外AVAST之前也发过文章,大概是2014年末这病毒就开发扩散了,估计比这个时间还早

文章https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dahubaobao 2016-1-13 15:43
9
0
攻击英国,LZ应该留着啊。。。
游客
登录 | 注册 方可回帖
返回