Linux中国
一个月内发现的第六起 Linux DDoS 木马
该木马被命名为 Linux.DDoS.93,它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件,并通过它在计算机启动时运行。如果该文件不存在,就会自己创建一个。
当该木马运行起来以后会进行初始化,它会启动两个进程,一个用于与 C&C (控制)服务器通讯,另外一个用于确保木马的父进程一直运行。
该木马启动 25 个子进程进行 DDoS 攻击
当控制该木马网络的攻击者发起攻击命令时,这个木马会启动 25 个子进程来进行 DDoS 攻击。
当前,该木马可以发出 UDP 洪泛(针对随机或特定端口),TCP 洪泛(简单的包,或给每个包随机增加至多 4096 字节的数据)和 HTTP 洪泛(通过 POST、GET 或 HEAD 请求)。
而且,该木马还能自我更新、自我删除、终止自己的进程、ping、从 C&C 服务器下载和运行文件。
当它发现某些名字时会关闭
这个木马还包括一个功能,如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己:
privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller
这些字符串大多数与信息安全领域有关,似乎是为了防止安全研究人员的反向工程研究,或者是为了避免感染该恶意软件作者自己的机器。
在感染过程中,该木马也会扫描它的旧版本,并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统,该木马的最新版本总是会出现在被感染的机器上。
Linux 是过去一个月以来最热门的木马攻击平台,在最近 30 天内,安全研究人员已经发现、分析和曝光了其它五个 Linux 木马: Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。
本文转载来自 Linux 中国: https://github.com/Linux-CN/archive
对这篇文章感觉如何?
太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0
More in:Linux中国
如何通过 VLC 使用字幕
使用 VLC 媒体播放器播放和管理字幕的新手指南。
Unix 桌面:在 Linux 问世之前
仅仅开源还不足以实现开放,还需开放标准和建立共识。
Valve 对于 Ubuntu 的 Snap 版本的 Steam 并不满意:原因何在
你可能会发现,Snap 版本的 Steam 并不如你期待的那样好,你怎么看?
Wine 9.0 发布,实验性地加入了 Wayland 驱动
Wine 的这个新版本正在为未来做好准备!