一个月内发现的第六起 Linux DDoS 木马
2016-09-17 20:04
495 查看
Linux 用户又有一个木马需要苦恼了,就像以往一样,这些坏蛋大多部署在被劫持的 Linux 系统上,并在接受到命令后发起 DDoS 攻击。发现了这件事的 Dr.Web 的安全研究人员说,木马似乎是通过破壳漏洞(Shellshock)感染的这些 Linux 机器——现在仍然有很多设备没有补上这个漏洞。
该木马被命名为 Linux.DDoS.93,它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件,并通过它在计算机启动时运行。如果该文件不存在,就会自己创建一个。当该木马运行起来以后会进行初始化,它会启动两个进程,一个用于与 C&C (控制)服务器通讯,另外一个用于确保木马的父进程一直运行。
当前,该木马可以发出 UDP 洪泛(针对随机或特定端口),TCP 洪泛(简单的包,或给每个包随机增加至多 4096 字节的数据)和 HTTP 洪泛(通过 POST、GET 或 HEAD 请求)。
而且,该木马还能自我更新、自我删除、终止自己的进程、ping、从 C&C 服务器下载和运行文件。
该木马被命名为 Linux.DDoS.93,它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件,并通过它在计算机启动时运行。如果该文件不存在,就会自己创建一个。当该木马运行起来以后会进行初始化,它会启动两个进程,一个用于与 C&C (控制)服务器通讯,另外一个用于确保木马的父进程一直运行。
该木马启动 25 个子进程进行 DDoS 攻击
当控制该木马网络的攻击者发起攻击命令时,这个木马会启动 25 个子进程来进行 DDoS 攻击。当前,该木马可以发出 UDP 洪泛(针对随机或特定端口),TCP 洪泛(简单的包,或给每个包随机增加至多 4096 字节的数据)和 HTTP 洪泛(通过 POST、GET 或 HEAD 请求)。
而且,该木马还能自我更新、自我删除、终止自己的进程、ping、从 C&C 服务器下载和运行文件。
当它发现某些名字时会关闭
这个木马还包括一个功能,如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己:这些字符串大多数与信息安全领域有关,似乎是为了防止安全研究人员的反向工程研究,或者是为了避免感染该恶意软件作者自己的机器。在感染过程中,该木马也会扫描它的旧版本,并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统,该木马的最新版本总是会出现在被感染的机器上。Linux 是过去一个月以来最热门的木马攻击平台,在最近 30 天内,安全研究人员已经发现、分析和曝光了其它五个 Linux 木马: Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。privmsggetlocalipkaitenbrian krebsbotnetbitcoin minelitecoin minerootkitkeyloggerddosingnullinghackforumsskiddiescript kiddieblackhatwhitehatgreyhatgrayhatdoxingmalwarebootkitransomwarespywarebotkiller
相关文章推荐
- diff与patch,diff的三种模式说明
- linux du命令
- linux目录及规则
- Linux知识
- linux >和>>的区别,<号使用
- Linux下opencv的安装及运行
- Linux/Unix里,ln -s
- Windows系统与Linux系统之间资源samba共享【转】
- Linux内核编译
- arm-linux-gcc-4.3.2.tgz交叉编译器的安装与使用
- 安装centos7后无法检测到win7系统
- linux并行集群的搭建
- linux 主机名
- linux tar命令
- 关于Linux的开元及命令介绍
- 使用调色板绘制系统界面
- Linux Ubuntu下使用su命令切换root用户
- CentOS7 基于Hadoop2.7 的Spark2.0集群搭建
- Linux启动流程详解【转载】
- Vmware创建虚拟机和安装Centos6