Linux中國
一個月內發現的第六起 Linux DDoS 木馬
該木馬被命名為 Linux.DDoS.93,它首要會修改 /var/run/dhcpclient-eth0.pid 這個文件,並通過它在計算機啟動時運行。如果該文件不存在,就會自己創建一個。
當該木馬運行起來以後會進行初始化,它會啟動兩個進程,一個用於與 C&C (控制)伺服器通訊,另外一個用於確保木馬的父進程一直運行。
該木馬啟動 25 個子進程進行 DDoS 攻擊
當控制該木馬網路的攻擊者發起攻擊命令時,這個木馬會啟動 25 個子進程來進行 DDoS 攻擊。
當前,該木馬可以發出 UDP 洪泛(針對隨機或特定埠),TCP 洪泛(簡單的包,或給每個包隨機增加至多 4096 位元組的數據)和 HTTP 洪泛(通過 POST、GET 或 HEAD 請求)。
而且,該木馬還能自我更新、自我刪除、終止自己的進程、ping、從 C&C 伺服器下載和運行文件。
當它發現某些名字時會關閉
這個木馬還包括一個功能,如果在掃描計算機內存並列出活動的進程時發現如下字元串會關閉自己:
privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller
這些字元串大多數與信息安全領域有關,似乎是為了防止安全研究人員的反向工程研究,或者是為了避免感染該惡意軟體作者自己的機器。
在感染過程中,該木馬也會掃描它的舊版本,並會關閉舊版本然後安裝一個新的。這意味著這是一個自動更新系統,該木馬的最新版本總是會出現在被感染的機器上。
Linux 是過去一個月以來最熱門的木馬攻擊平台,在最近 30 天內,安全研究人員已經發現、分析和曝光了其它五個 Linux 木馬: Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive
對這篇文章感覺如何?
太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
More in:Linux中國
如何通過 VLC 使用字幕
使用 VLC 媒體播放器播放和管理字幕的新手指南。
Unix 桌面:在 Linux 問世之前
僅僅開源還不足以實現開放,還需開放標準和建立共識。
Valve 對於 Ubuntu 的 Snap 版本的 Steam 並不滿意:原因何在
你可能會發現,Snap 版本的 Steam 並不如你期待的那樣好,你怎麼看?
Wine 9.0 發布,實驗性地加入了 Wayland 驅動
Wine 的這個新版本正在為未來做好準備!