initdz linux挖坑病毒分析
拉进ida里面反编译一下
函数名很清晰,看来是没有去掉符号信息
进入checkhost()里面
也很清楚,选择一个存活的域名作为baseurl,后面有用到来下载挖坑程序
进入checkzigw()函数
删除同类的挖坑软件,详细说一下,先pkill zigw进程,改变zigw的属性为可见可修改,使用rm -rf /etc/zigw删除zigw
进入initfile()函数,这个函数比较重要,从服务器下载了挖坑程序并且执行,将自己复制为/tmp/initdz
如果没有httpdz文件,就从服务器下载httpdz并且改属性为777,可读可写可执行
下载挖坑migrations并改成属性可执行
将rm程序改为rmm,并且替换为自己的程序
进入checkcrontab()
因该是设置定时启动,没有仔细分析。。。
竟然checkssh()
替换用户的authorized_keys,用于黑客远程ssh登陆
进入kill()函数
kill同类的挖矿软件,挖矿只能我挖?
这个so文件用于DDos攻击,杀了也好
进入checkservice()
创建挖矿服务
进入checkhost()
修改hosts文件,域名重定向到127.0.0.1使其他挖矿不能工作,挖矿只能我挖?
最后clean()
清除日志信息
history -c清除当前用户的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 删除终端历史记录
样本下载:https://pan.baidu.com/s/1LCUl-CP0GSFNCRjvql2XxA
initdz linux挖坑病毒分析相关推荐
- C:/WINDOWS/system32/x 病毒分析和解决建议
系统出现问题,症状有: 偶尔很卡,CPU并没有很高的进程: 死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作: 只能强行重新启动: NOD32会报以下病毒警告: C:/WINDOWS/syst ...
- 《Unix/Linux网络日志分析与流量监控》2014年11月底出版
2014年11月 <Unix/Linux网络日志分析与流量监控>重磅新书出版 近日,历时3年创作的75万字书稿已完成,本书目前正在出版社清样阶段即将出版发行.本书紧紧围绕网络安全的主题,对 ...
- 病毒分析系列 _ 病毒分析环境搭建
前言 通常进行病毒分析,需要有一个配置好的病毒分析环境,fireeye之前也出过配置好的虚拟机,但是虚拟机安装过程很慢,不如我们自己配置一个,下边对虚拟机的配置和病毒分析的基本原则进行展开说明,打好病 ...
- 关于Linux下病毒的话题
潜在的威胁 病毒 病毒是一小段安置在某个宿主程序核心位置的代码,它能够通过感染新的执行文件来自我复制.病毒最早出现于70年代,当时的程序员在玩一个叫做"core war"的游戏.这 ...
- WannaCry勒索病毒分析过程**中**(注)
WannaCry勒索病毒分析 中(注) 我犯了一个很大的错误,就是在做分析的时候没有确定函数的作用,在分析过程中有捉不到重点的毛病. 在WannaCry.exe的分析中,它在判断打开它的URL后,如果 ...
- 病毒分析快速入门01--分析环境搭建
小C无聊的躺在床上,刷着#开学#话题微博. 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了. 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题 ...
- Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
- 信息安全 | 病毒分析的基础流程、报告编写、特征提取
病毒分析的基础流程.报告编写.特征提取 基础流程 静态分析 文件类型 API信息 字符串提取 壳检测 反汇编 动态分析 虚拟机 注册表检测 文件操作检测 进程检测 网络检测 动态调试 常用工具 反汇编 ...
- 新型BlackEnergy(word宏)病毒分析
新型BlackEnergy(word宏)病毒分析 前言 BlackEnergy木马介绍 BlackEnergy木马分析 BlackEnergy木马攻击还原 攻击场景搭建 木马行为分析 总结 目录 0X ...
最新文章
- 合肥工业大学—SQL Server数据库实验四:数据库的分离和附加
- Visual C#创建资源文件
- zookeeper都有哪些使用场景
- vb循环 Do While…Loop 语句/Do Until…Loop语句
- 无失真压缩法可以减少冗余_CVPR 2020 论文概述:基于深度学习的层级式视频压缩方法...
- Leetcode每日一题:20.valid-parentheses(有效的括号)
- Javascript ES6 Promise同步读取文件(使用async、await)
- Java中创建线程池的正确方法
- 深度复盘 | 蚂蚁集团万级规模 k8s 集群基建之路
- 产品读书《大数据时代:生活、工作与思维的大变革》
- 【效率提高10倍项目原创发布!】深度学习数据自动标注器开源 目标检测和图像分类(高精度高效率)
- 数码单反相机与无反光镜相机。选择产品摄影解决方案
- 理财APP的低成本ASO优化实战
- 解读《大话西游之大圣娶亲》
- 网关、路由器、交换机
- NOWCODER 虚无的后缀(贪心)
- Abode Photoshop CC 2019之更换图片颜色
- 七牛C#语言搭建javascript上传--包含后端请求token(前端javascript+后端c#)
- Spring微服务实战第1章 欢迎迈入云世界,Spring
- Linux 中断管理之ARM GIC V3 初始化
热门文章
- 成功解决building ‘snappy._snappy‘ extension error: Microsoft Visual C++ 14.0 is required. Get it with “B
- Interview:算法岗位面试—上海某公司算法岗位(偏数据分析,互联网行业)技术面试考点之特征工程考察点
- DL之CNN:基于CRNN_OCR算法(keras,CNN+RNN)利用数据集(torch,mdb格式)训练来实现新图片上不定长度字符串进行识别—训练过程
- Silverlight学习(一) 创建Silverlight项目,构建一个简单的Silverlight Demo
- rabbitMQ(二):Fanout Exchange
- 观察者模式--模拟3D彩票公众号
- bzoj2424 订货
- hdu_4391,线段树
- [PHP]用PHPUnit进行行为驱动开发(Behaviour-Driven Development)
- C++的cout高阶格式化操作