SlideShare uma empresa Scribd logo

认识一些基于Linux系统的木马病毒

Transferir como DOC, PDF
wensheng wei
wensheng wei
Tecnologia
1 de 11
认识一些基于 Linux 系统的木马病毒 尽管在 Linux 操作系统里传播的木马病毒不多,但也是存在一些,我从一些安全站点搜集了一些资料。 1、病毒名称: Linux.Slapper.Worm 类别: 蠕虫 病毒资料: 感染系统:Linux 不受影响系统:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh   病毒传播: 端口:80, 443, 2002 感染目标:各版本 Linux 系统上的 Apache Web 服务器 技术特征: 该蠕虫会试图不断连接 80 端口,并向服务器发送无效的“GET”请求,以识别 Apache 系统。一旦发现 Apache 系 统,它会连接 443 端口,并向远程系统上的监听 SSL 服务发送恶意代码。 此蠕虫利用了 Linux Shell 代码仅能在英特尔系统上运行的漏洞。该代码需要有 shell 命令/bin/sh 才能正确执 行。蠕虫利用了 UU 编码的方法,首先将病毒源码编码 成".bugtraq.c"(这样就使得只有"ls -a"命令才能显示此 代码文件),然后发送到远程系统上,再对此文件进行解码。之后,它会利用 gcc 来编译此文件,并运行编译过 的二进制文 件".bugtraq".这些文件将存放在/tmp 目录下。 蠕虫运行时利用 IP 地址作为其参数。这些 IP 地址是黑客攻击所使用的机器的地址,蠕虫用它来建立一个利用被感 染机器发动拒绝服务攻击的网络。每个被感染的系统会对 UDP 端口 2002 进行监听,以接收黑客指令。 此蠕虫利用后缀为如下数字的固定 IP 地址对 Apache 系统进行攻击: 3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239 2、病毒名称: Trojan.Linux.Typot.a 类别: 木马病毒 病毒资料: 破坏方法: 该病毒是在 Linux 操作系统下的木马,木马运行后每隔几秒就发送一个 TCP 包,其目的 IP 和源 IP 地址是随机
的,这个包中存在固定的特征,包括 TCP window size 等<在这里为 55808>,同时,病毒会嗅探网络,如果 发现 TCP 包的 window size 等于 55808,就会在当前目录下生成一个文件<文件名为:r>,每隔 24 小时,病 毒检测是否存在文件 “r”,如果存在,就会试图连接固定的 IP 地址<可能为木马的客户端>,如果连接成功,病毒 就会删除文件:/tmp/……/a 并退出 3、病毒名称: Trojan.Linux.Typot.b 类别: 木马病毒 病毒资料: 破坏方法: 该病毒是在 Linux 操作系统下的木马,木马运行后每隔几秒就发送一个 TCP 包,其目的 IP 和源 IP 地址是随机 的,这个包中存在固定的特征,包括 TCP window size 等<在这里为 55808>,同时,病毒会嗅探网络,如果 发现 TCP 包的 window size 等于 55808,就会在当前目录下生成一个文件<文件名为:r>,每隔 24 小时,病 毒检测是否存在文件 “r”,如果存在,就会试图连接固定的 IP 地址<可能为木马的客户端>,如果连接成功,病毒 就会删除文件:/tmp/……/a 并退出 4、病毒名称: W32/Linux.Bi 类别: WL 病毒 病毒资料: W32/Linux.Bi 是个跨平台病毒,长度 1287 字节,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系统, 它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后,有以下现象: A 感染当前目录下的长度在 4K 和 4M 之间的可执行文件,(不感染 windows 下的 dll 文件) 5、病毒名称: Linux.Plupii.C 类别: Linux 病毒 病毒资料: Linux.Plupii.C 是一个 Linux 病毒,该病毒长度 40,7576 字节,感染 Linux, Novell Netware, UNIX 系统,它通过系统漏洞传播,该病毒感染的现象为: A 在 UDP 端口 27015 打开后门,允许黑客远程控制计算机 B 生成 IP 地址,添加以下内容生成 URL 地址 /cvs/ /articles/mambo/ /cvs/mambo/ /blog/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /drupal/xmlrpc.php /phpgroupware/xmlrpc.php /wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php C 向上述地址发送 http 请求,尝试通过以下漏洞传播 PHP 的 XML-RPC 远程注入攻击 (见漏洞列表 ID 14088 http://www.securityfocus.com/bid/14088 ) AWStats 日志插件参数输入确定漏洞 (见漏洞列表 ID 10950 http://www.securityfocus.com/bid/10950 ) Darryl 外围远程执行命令漏洞 (见漏洞列表 ID 13930 http://www.securityfocus.com/bid/13930 ) D 当发现存在漏洞的计算机,病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并执行 E 下载以下病毒到/tmp/.temp 目录,感染计算机 cb (病毒 Linux.Plupii.B) https (Perl 脚本后门病毒) ping.txt (Perl 脚本外壳后门病毒。) httpd F 试图连接预定地址的 TCP 端口 8080 ,打开一个外壳后门 G 打开 IRC 后门,连接以下 IRC 服务器 eu.undernet.org us.undernet.org 195.204.1.130 194.109.20.90 病毒查找加入含有 lametrapchan 字符串的频道,等待黑客命令 6、病毒名称: Linux.Mare 类别: Linux 病毒 病毒资料: 该病毒长度可变,感染 Linux 系统,它通过 PHP 的 phpbb_root_path 漏洞传播,并打开后门供黑 客下载执行远程文件,当感染此病毒时,有以下危害: A 打开后门连接以下服务器 81.223.104.152 24.224.174.18
B 接受并执行远程的黑客下达如下命令 更新病毒 执行命令 停止病毒 C 从上述服务器下载执行远程文件 listen D 下载执行远程更新文件 update.listen E 记录信息到文件 listen.log F 扫描通过 PHP 的 phpbb_root_path 漏洞 G 对扫描到的计算机执行以下命令 http://209.136.48.69/[已删除]/cvac 7、病毒名称: Linux.Plupii 类别: Linux 病毒 病毒资料: 该病毒长度 34,724 字节,感染 Linux 系统,此病毒利用 WEB 服务器漏洞传播,并且打开后门供 黑客操作,到当收到、打开此病毒时,有以下危害: A 通过 UPD 端口 7222 发送一个通知信息给远程黑客 B 打开后门供黑客操作 C 生成包含以下内容的 URL /cgi-bin/ /scgi-bin/ /awstats/ /cgi-bin/awstats/ /scgi-bin/awstats/ /cgi/awstats/ /scgi/awstats/ /scripts/ /cgi-bin/stats/ /scgi-bin/stats/ /stats/ /xmlrpc.php
/xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php /blog/xmlrpc.php /drupal/xmlrpc.php /community/xmlrpc.php /blogs/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogtest/xmlsrv/xmlrpc.php /b2/xmlsrv/xmlrpc.php /b2evo/xmlsrv/xmlrpc.php /wordpress/xmlrpc.php /phpgroupware/xmlrpc.php /cgi-bin/includer.cgi /scgi-bin/includer.cgi /includer.cgi /cgi-bin/include/includer.cgi /scgi-bin/include/includer.cgi /cgi-bin/inc/includer.cgi /scgi-bin/inc/includer.cgi /cgi-local/includer.cgi /scgi-local/includer.cgi /cgi/includer.cgi /scgi/includer.cgi /hints.pl /cgi/hints.pl /scgi/hints.pl
/cgi-bin/hints.pl /scgi-bin/hints.pl /hints/hints.pl /cgi-bin/hints/hints.pl /scgi-bin/hints/hints.pl /webhints/hints.pl /cgi-bin/webhints/hints.pl /scgi-bin/webhints/hints.pl /hints.cgi /cgi/hints.cgi /scgi/hints.cgi /cgi-bin/hints.cgi /scgi-bin/hints.cgi /hints/hints.cgi /cgi-bin/hints/hints.cgi /scgi-bin/hints/hints.cgi /webhints/hints.cgi /cgi-bin/webhints/hints.cgi /scgi-bin/webhints/hints.cgi D 使用上述生成的 URL 连接发送 http 请求,尝试使用下列 WEB 漏洞传播 PHP 远程溢出漏洞 XML-RPC(ID 14088) AWStats Rawlog 插件日志文件输入漏洞(ID 10950) Darryl Burgdorf Webhints 远程执行漏洞(ID 13930) F 尝试从 http://62.101.193.244/[已删除]/lupii 下载执行病毒 G 保存下载的病毒到 /tmp/lupii 8、病毒名称: Linux.Jac.8759 类别: Linux 病毒 病毒资料: 感染长度:8759 字节
病毒简介:Linux.Jac.8759 是一个专门感染 Linux 系统下的文件的病毒,能够感染与其同相目录下的所有后缀为 ELF 的可执行文件。 技术特征:当 Linux.Jac.8759 被执行后,它会检测所有其相同目录下的文件,若找到有可写权限的可执行文 件,即会感染之。不过,此病毒不会感染以字母 ps 结尾的文件,也不会感染 X86(因特尔)平台下的文件。 病毒会修改被感染文件头的几个地方。其中一个修改是用来作为感染标记,这就使得病毒不会多次感同一个文 件。 9、病毒名称: Linux.Mighty.worm 类别: Unix/Linux 蠕虫 病毒资料: 技术特征: 这是一个 Linux 蠕虫,类似前段时间出现的 Slapper,都是借助运行 Apache 服务器软件的 Linux 机器进行传播。一旦找到可感染的机器,此蠕虫便会利用 OpenSSL 服务器(443 端口)的缓冲溢出漏洞来执行 远程的 shell 指令。有关此漏洞的详细信息,可浏览 http://www.kb.cert.org/vuls/id/102795. 该蠕虫是由四个文件组成: a.script.sh:初始的 shell 脚本,用来下载,编译及执行其他组件; b.devnul:32 位 x86 ELF 可执行文件,大约 19050 字节,它是蠕虫用来扫描互联网的主要部分; c.sslx.c:利用 OpenSSL 漏洞的源代码文件,由 script.sh 进行编译,供 devnul 使用; d.k:32 位 x86 ELF 可执行文件,大约 37237 字节,它是 kaiten 后门程序及 Ddos 工具的 Linux 端口。 当初始 shell 程序(script.sh)运行时,它会下载蠕虫的三个组件,并将漏洞代码文件(sslx.c) 编译成二进制 文件 sslx,然后执行 Kaiten 后门程序(K)并运行 devnul 文件。而 devnul 会扫描互联网上存在漏洞的机器, 一旦找到未打补丁的机器,它会运行 sslx 程序中的缓冲溢出漏洞代码。 蠕虫一旦进入到一个新系统并在此系统上成功运行的话,它会下载并执行 shell 脚本(script.sh),这样蠕虫的 自我繁殖过程就告完成。 10、病毒名称: Linux.Simile 类别: Win32 病毒 病毒资料: 感染长度:变化不定 危害级别:低 受影响系统:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Linux 不受影响系统:Windows, Microsoft IIS, Macintosh, Unix 技术特征: 这是一个非常复杂的病毒,利用了模糊入口端点、变形及多态加密技术,也是第一个能在 Windows 及 Linux 平 台下感染的多态变形病毒。它不含破坏性 的有效载荷,但感染文件后,会在特定日期弹出对话框,让人感觉厌
烦。该病毒是 Simile 家族的第四个变种,它引入了一种在 Intel Linux 平台下的新的感染机制,可感染 32 位 ELF 文件(标准的 Unix 二进制格式)。此病毒能够感染 Linux 及 Win32 系统下的 PE 及 ELF 文 件。 病毒第一次运行后,会检查当前系统日期,若病毒依附的主文件是 PE 文件,且在 3 月或 9 月 17 日这天,会弹出 一个信息框: 若主文件是 ELF 格式,则在 3 月 17 或 5 月 14 这天,病毒会输出一段类似如下的文本信息到控制面板: 该病毒已被证实能感染 Red Hat Linux6.2, 7.0 及 7.2 版本下的文件,在别的版本下也极有可能感染。被感染 文件平均增加 110K 字节,但增长的字节数随着病毒的变形引擎缩小或扩展及插入方式的不同而不同。 11、病毒名称: Linux.Slapper.B 类别: Unix/Linux 蠕虫 病毒资料: 危害级别:中 传播速度:中 技术特征: 这是一种感染 Linux 系统的网络蠕虫,与原版 Linux.Slapper.A 相似,但有一些新增功能。它会搜索运行 Apache 服务器的系统,一旦找 到能感染的机器,它就会利用 Openssl 服务器的缓冲溢出漏洞来执行远程 shell 命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795 该变种传播的时候,会携带自己的源代码,然后在每台受害机器上进行编译,使得其变成可执行文件。病毒源代 码文件名叫“。cinik.c”,会被复制到 “/tmp” 目录下,而其编译过的文件叫“。cinik”,存放在同一目录下,且作 为源代码的 UUEncoded 版本。此变种还含有一个 shell 脚本/tmp /.cinik.go,用来搜索被感染系统上的文件, 然后用蠕虫的二制码覆盖所搜索到的文件。该脚本还会将本地机器及网络的信息通过邮件发送给一个后缀为 yahoo.com 的邮件地址。 假如病毒源文件/tmp/cinik.c 被用户删除了,它会从某个站点下载源文件的副本,文件名也叫 cinik.c. 另外,被感染系统还会在 UDP 1978 端口上运行一后门服务器端程序。与所有后门程序类似,该服务器端会响应 远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,其中一条指令是在受感染机器上搜 索邮件地址。 它会扫描所有目录(三个特珠目录/proc, /dev 及/bin 除外)下的所有文件,以查找有效的邮件地址。而其中含 有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一 清单发送给远程用户起初所指定的 IP 地址。 另外,远程未授权用户还可能发送其他一些指令,如: a.DOS 攻击(TCP 或 UDP); b.打开或关闭 TCP 代理(1080 端口); c.执行任意程序; d.获得其他被感染服务器的名称; 此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的 IP 地址: A. B. 0-255.0-255
其中 B 是 0 到 255 之间的任意数字; A 为从下列列表中随机选择的数字: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 198 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 12、病毒名称: Linux.Slapper.C 类别: Unix/Linux 蠕虫 病毒资料: 技术特征: 这是一种感染 Linux 系统的网络蠕虫,与原版 Linux.Slapper.A 相似,但有一些新增功能。它会搜索运行 Apache 服务器的系统,一旦找 到能感染的机器,它就会利用 Openssl 服务器的缓冲溢出漏洞来执行远程 shell 命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795 该变种传播的时候,会携带自己的源代码,然后在每台受害机器上编译两个可执行程 序“。unlock.c”及"update.c",它们都创建在 “/tmp” 目录下。第一个成功编译后的可执行程序叫“httpd” ,位 于相同目录下。第二个可执行文件"update" 会监听 1052 端口,当输入正确 Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码后,它会允许大量的交互 式 shell 命令通过。另外,该变种还会将受感染机器的主机名及 IP 地址发送给指定的邮件地址。 像 Slapper.A 及 Slapper.b 一样,被 Slapper.c 感染过的系统会在 UDP 4156 端口运行一个后门服务器端程
序,该服务器端会响应远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,共中一条指 令是在受感染 机器上搜索邮件地址。 它会扫描所有目录(三个特殊目录/proc, /dev 及/bin 除外)下的所有文件,以查找有效的邮件地址。而其中含 有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一 清单发送给远程用户起初所指定的 IP 地址。 另外,远程未授权用户还可能发送其他一些指令,如: a.DOS 攻击(TCP 或 UDP); b.打开或关闭 TCP 代理(1080 端口); c.执行任意程序; d.获得其他被感染服务器的名称; 此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的 IP 地址: A. B. 0-255.0-255 其中 B 是 0 到 255 之间的任意数字; A 为从下列列表中随机选择的数字: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 198 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 224 225
226 227 228 229 230 231 232 233 234 235 236 237 238 239

Recomendados

02.佈署手冊deployment guide for version 8.0
02.佈署手冊deployment guide for version 8.002.佈署手冊deployment guide for version 8.0
02.佈署手冊deployment guide for version 8.0Jimmy315
 
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 briian
 
20030623 linuxbasic and-security
20030623 linuxbasic and-security20030623 linuxbasic and-security
20030623 linuxbasic and-security建融 黃
 
几米语录
几米语录几米语录
几米语录wensheng wei
 
如何学好Java?
如何学好Java?如何学好Java?
如何学好Java?wensheng wei
 
原创 读《大话设计模式》---外观模式(Facade) 收藏
原创 读《大话设计模式》---外观模式(Facade) 收藏原创 读《大话设计模式》---外观模式(Facade) 收藏
原创 读《大话设计模式》---外观模式(Facade) 收藏wensheng wei
 
最重要的 Java EE 最佳实践
最重要的 Java EE 最佳实践最重要的 Java EE 最佳实践
最重要的 Java EE 最佳实践wensheng wei
 
CSS规范:
CSS规范:CSS规范:
CSS规范:wensheng wei
 

Recomendados

02.佈署手冊deployment guide for version 8.0
02.佈署手冊deployment guide for version 8.002.佈署手冊deployment guide for version 8.0
02.佈署手冊deployment guide for version 8.0Jimmy315
 
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 briian
 
20030623 linuxbasic and-security
20030623 linuxbasic and-security20030623 linuxbasic and-security
20030623 linuxbasic and-security建融 黃
 
几米语录
几米语录几米语录
几米语录wensheng wei
 
如何学好Java?
如何学好Java?如何学好Java?
如何学好Java?wensheng wei
 
原创 读《大话设计模式》---外观模式(Facade) 收藏
原创 读《大话设计模式》---外观模式(Facade) 收藏原创 读《大话设计模式》---外观模式(Facade) 收藏
原创 读《大话设计模式》---外观模式(Facade) 收藏wensheng wei
 
最重要的 Java EE 最佳实践
最重要的 Java EE 最佳实践最重要的 Java EE 最佳实践
最重要的 Java EE 最佳实践wensheng wei
 
CSS规范:
CSS规范:CSS规范:
CSS规范:wensheng wei
 
入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程wensheng wei
 
无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则wensheng wei
 
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...wensheng wei
 
GHOST系统备份图解
GHOST系统备份图解GHOST系统备份图解
GHOST系统备份图解wensheng wei
 
微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻wensheng wei
 
建立Access数据库的安全门
建立Access数据库的安全门建立Access数据库的安全门
建立Access数据库的安全门wensheng wei
 
[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表wensheng wei
 
存储过程入门与提高
存储过程入门与提高存储过程入门与提高
存储过程入门与提高wensheng wei
 
中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析wensheng wei
 
Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器wensheng wei
 
2009语录
2009语录2009语录
2009语录wensheng wei
 
jsp基础速成精华讲解
jsp基础速成精华讲解jsp基础速成精华讲解
jsp基础速成精华讲解wensheng wei
 
Java 操作 Excel (读)
Java 操作 Excel (读)Java 操作 Excel (读)
Java 操作 Excel (读)wensheng wei
 
Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?wensheng wei
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取openblue
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取OFMKT
 
Malware Introduction and Defense
Malware Introduction and DefenseMalware Introduction and Defense
Malware Introduction and DefenseNi Zhiqiang
 
Linux commands ppt
Linux commands pptLinux commands ppt
Linux commands pptxiaotingting
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告ahnlabchina
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢T客邦
 

Mais conteúdo relacionado

Destaque

入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程wensheng wei
 
无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则wensheng wei
 
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...wensheng wei
 
GHOST系统备份图解
GHOST系统备份图解GHOST系统备份图解
GHOST系统备份图解wensheng wei
 
微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻wensheng wei
 
建立Access数据库的安全门
建立Access数据库的安全门建立Access数据库的安全门
建立Access数据库的安全门wensheng wei
 
[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表wensheng wei
 
存储过程入门与提高
存储过程入门与提高存储过程入门与提高
存储过程入门与提高wensheng wei
 
中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析wensheng wei
 
Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器wensheng wei
 
jsp基础速成精华讲解
jsp基础速成精华讲解jsp基础速成精华讲解
jsp基础速成精华讲解wensheng wei
 
Java 操作 Excel (读)
Java 操作 Excel (读)Java 操作 Excel (读)
Java 操作 Excel (读)wensheng wei
 
Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?wensheng wei
 

Destaque (14)

入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程
 
无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则
 
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...
 
GHOST系统备份图解
GHOST系统备份图解GHOST系统备份图解
GHOST系统备份图解
 
微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻
 
建立Access数据库的安全门
建立Access数据库的安全门建立Access数据库的安全门
建立Access数据库的安全门
 
[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表
 
存储过程入门与提高
存储过程入门与提高存储过程入门与提高
存储过程入门与提高
 
中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析
 
Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器
 
2009语录
2009语录2009语录
2009语录
 
jsp基础速成精华讲解
jsp基础速成精华讲解jsp基础速成精华讲解
jsp基础速成精华讲解
 
Java 操作 Excel (读)
Java 操作 Excel (读)Java 操作 Excel (读)
Java 操作 Excel (读)
 
Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?
 

Semelhante a 认识一些基于Linux系统的木马病毒

雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取openblue
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取OFMKT
 
Malware Introduction and Defense
Malware Introduction and DefenseMalware Introduction and Defense
Malware Introduction and DefenseNi Zhiqiang
 
Linux commands ppt
Linux commands pptLinux commands ppt
Linux commands pptxiaotingting
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告ahnlabchina
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢T客邦
 
Linux必学的60个命令
Linux必学的60个命令Linux必学的60个命令
Linux必学的60个命令yiditushe
 
安博士Asec 2010年8月安全报告
安博士Asec 2010年8月安全报告安博士Asec 2010年8月安全报告
安博士Asec 2010年8月安全报告ahnlabchina
 
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告ahnlabchina
 
恶性代码和分析方案
恶性代码和分析方案恶性代码和分析方案
恶性代码和分析方案Youngjun Chang
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤jack51706
 
Ict network security
Ict network securityIct network security
Ict network securityGary Tsang
 
Malware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptMalware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptJulia Yu-Chin Cheng
 
Open讲座之"我的软件我做主"
Open讲座之"我的软件我做主"Open讲座之"我的软件我做主"
Open讲座之"我的软件我做主"NJU OPEN
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)WASecurity
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中T客邦
 
Strace debug
Strace debugStrace debug
Strace debugluo jing
 

Semelhante a 认识一些基于Linux系统的木马病毒 (20)

雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
 
Malware Introduction and Defense
Malware Introduction and DefenseMalware Introduction and Defense
Malware Introduction and Defense
 
Linux commands ppt
Linux commands pptLinux commands ppt
Linux commands ppt
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
 
Linux必学的60个命令
Linux必学的60个命令Linux必学的60个命令
Linux必学的60个命令
 
安博士Asec 2010年8月安全报告
安博士Asec 2010年8月安全报告安博士Asec 2010年8月安全报告
安博士Asec 2010年8月安全报告
 
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
 
恶性代码和分析方案
恶性代码和分析方案恶性代码和分析方案
恶性代码和分析方案
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
 
Ict network security
Ict network securityIct network security
Ict network security
 
Malware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptMalware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
 
Open讲座之"我的软件我做主"
Open讲座之"我的软件我做主"Open讲座之"我的软件我做主"
Open讲座之"我的软件我做主"
 
作業系統1
作業系統1作業系統1
作業系統1
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
 
Strace debug
Strace debugStrace debug
Strace debug
 

Mais de wensheng wei

你会柔软地想起这个校园
你会柔软地想起这个校园你会柔软地想起这个校园
你会柔软地想起这个校园wensheng wei
 
几米语录(1)
几米语录(1)几米语录(1)
几米语录(1)wensheng wei
 
高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术wensheng wei
 
存储过程编写经验和优化措施
存储过程编写经验和优化措施存储过程编写经验和优化措施
存储过程编写经验和优化措施wensheng wei
 
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 ZendCentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zendwensheng wei
 
Happiness is a Journey
Happiness is a JourneyHappiness is a Journey
Happiness is a Journeywensheng wei
 
Java JNI 编程进阶
Java JNI 编程进阶 Java JNI 编程进阶
Java JNI 编程进阶 wensheng wei
 
Linux Shortcuts and Commands:
Linux Shortcuts and Commands:Linux Shortcuts and Commands:
Linux Shortcuts and Commands:wensheng wei
 
Java正则表达式详解
Java正则表达式详解Java正则表达式详解
Java正则表达式详解wensheng wei
 
Linux Security Quick Reference Guide
Linux Security Quick Reference GuideLinux Security Quick Reference Guide
Linux Security Quick Reference Guidewensheng wei
 
Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法wensheng wei
 
如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10wensheng wei
 
数据库设计方法、规范与技巧
数据库设计方法、规范与技巧数据库设计方法、规范与技巧
数据库设计方法、规范与技巧wensheng wei
 
揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件wensheng wei
 
mysql的字符串函数
mysql的字符串函数mysql的字符串函数
mysql的字符串函数wensheng wei
 

Mais de wensheng wei (20)

你会柔软地想起这个校园
你会柔软地想起这个校园你会柔软地想起这个校园
你会柔软地想起这个校园
 
几米语录(1)
几米语录(1)几米语录(1)
几米语录(1)
 
我的简历
我的简历我的简历
我的简历
 
高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术
 
存储过程编写经验和优化措施
存储过程编写经验和优化措施存储过程编写经验和优化措施
存储过程编写经验和优化措施
 
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 ZendCentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zend
 
Happiness is a Journey
Happiness is a JourneyHappiness is a Journey
Happiness is a Journey
 
Java JNI 编程进阶
Java JNI 编程进阶 Java JNI 编程进阶
Java JNI 编程进阶
 
Linux Shortcuts and Commands:
Linux Shortcuts and Commands:Linux Shortcuts and Commands:
Linux Shortcuts and Commands:
 
Java正则表达式详解
Java正则表达式详解Java正则表达式详解
Java正则表达式详解
 
Linux Security Quick Reference Guide
Linux Security Quick Reference GuideLinux Security Quick Reference Guide
Linux Security Quick Reference Guide
 
issue35 zh-CN
issue35 zh-CNissue35 zh-CN
issue35 zh-CN
 
Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法
 
Subversion FAQ
Subversion FAQSubversion FAQ
Subversion FAQ
 
如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10
 
ubunturef
ubunturefubunturef
ubunturef
 
数据库设计方法、规范与技巧
数据库设计方法、规范与技巧数据库设计方法、规范与技巧
数据库设计方法、规范与技巧
 
揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件
 
mysql的字符串函数
mysql的字符串函数mysql的字符串函数
mysql的字符串函数
 
Java学习路径
Java学习路径Java学习路径
Java学习路径
 

认识一些基于Linux系统的木马病毒

  • 1. 认识一些基于 Linux 系统的木马病毒 尽管在 Linux 操作系统里传播的木马病毒不多,但也是存在一些,我从一些安全站点搜集了一些资料。 1、病毒名称: Linux.Slapper.Worm 类别: 蠕虫 病毒资料: 感染系统:Linux 不受影响系统:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh   病毒传播: 端口:80, 443, 2002 感染目标:各版本 Linux 系统上的 Apache Web 服务器 技术特征: 该蠕虫会试图不断连接 80 端口,并向服务器发送无效的“GET”请求,以识别 Apache 系统。一旦发现 Apache 系 统,它会连接 443 端口,并向远程系统上的监听 SSL 服务发送恶意代码。 此蠕虫利用了 Linux Shell 代码仅能在英特尔系统上运行的漏洞。该代码需要有 shell 命令/bin/sh 才能正确执 行。蠕虫利用了 UU 编码的方法,首先将病毒源码编码 成".bugtraq.c"(这样就使得只有"ls -a"命令才能显示此 代码文件),然后发送到远程系统上,再对此文件进行解码。之后,它会利用 gcc 来编译此文件,并运行编译过 的二进制文 件".bugtraq".这些文件将存放在/tmp 目录下。 蠕虫运行时利用 IP 地址作为其参数。这些 IP 地址是黑客攻击所使用的机器的地址,蠕虫用它来建立一个利用被感 染机器发动拒绝服务攻击的网络。每个被感染的系统会对 UDP 端口 2002 进行监听,以接收黑客指令。 此蠕虫利用后缀为如下数字的固定 IP 地址对 Apache 系统进行攻击: 3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239 2、病毒名称: Trojan.Linux.Typot.a 类别: 木马病毒 病毒资料: 破坏方法: 该病毒是在 Linux 操作系统下的木马,木马运行后每隔几秒就发送一个 TCP 包,其目的 IP 和源 IP 地址是随机
  • 2. 的,这个包中存在固定的特征,包括 TCP window size 等<在这里为 55808>,同时,病毒会嗅探网络,如果 发现 TCP 包的 window size 等于 55808,就会在当前目录下生成一个文件<文件名为:r>,每隔 24 小时,病 毒检测是否存在文件 “r”,如果存在,就会试图连接固定的 IP 地址<可能为木马的客户端>,如果连接成功,病毒 就会删除文件:/tmp/……/a 并退出 3、病毒名称: Trojan.Linux.Typot.b 类别: 木马病毒 病毒资料: 破坏方法: 该病毒是在 Linux 操作系统下的木马,木马运行后每隔几秒就发送一个 TCP 包,其目的 IP 和源 IP 地址是随机 的,这个包中存在固定的特征,包括 TCP window size 等<在这里为 55808>,同时,病毒会嗅探网络,如果 发现 TCP 包的 window size 等于 55808,就会在当前目录下生成一个文件<文件名为:r>,每隔 24 小时,病 毒检测是否存在文件 “r”,如果存在,就会试图连接固定的 IP 地址<可能为木马的客户端>,如果连接成功,病毒 就会删除文件:/tmp/……/a 并退出 4、病毒名称: W32/Linux.Bi 类别: WL 病毒 病毒资料: W32/Linux.Bi 是个跨平台病毒,长度 1287 字节,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系统, 它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后,有以下现象: A 感染当前目录下的长度在 4K 和 4M 之间的可执行文件,(不感染 windows 下的 dll 文件) 5、病毒名称: Linux.Plupii.C 类别: Linux 病毒 病毒资料: Linux.Plupii.C 是一个 Linux 病毒,该病毒长度 40,7576 字节,感染 Linux, Novell Netware, UNIX 系统,它通过系统漏洞传播,该病毒感染的现象为: A 在 UDP 端口 27015 打开后门,允许黑客远程控制计算机 B 生成 IP 地址,添加以下内容生成 URL 地址 /cvs/ /articles/mambo/ /cvs/mambo/ /blog/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /drupal/xmlrpc.php /phpgroupware/xmlrpc.php /wordpress/xmlrpc.php
  • 3. /xmlrpc/xmlrpc.php C 向上述地址发送 http 请求,尝试通过以下漏洞传播 PHP 的 XML-RPC 远程注入攻击 (见漏洞列表 ID 14088 http://www.securityfocus.com/bid/14088 ) AWStats 日志插件参数输入确定漏洞 (见漏洞列表 ID 10950 http://www.securityfocus.com/bid/10950 ) Darryl 外围远程执行命令漏洞 (见漏洞列表 ID 13930 http://www.securityfocus.com/bid/13930 ) D 当发现存在漏洞的计算机,病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并执行 E 下载以下病毒到/tmp/.temp 目录,感染计算机 cb (病毒 Linux.Plupii.B) https (Perl 脚本后门病毒) ping.txt (Perl 脚本外壳后门病毒。) httpd F 试图连接预定地址的 TCP 端口 8080 ,打开一个外壳后门 G 打开 IRC 后门,连接以下 IRC 服务器 eu.undernet.org us.undernet.org 195.204.1.130 194.109.20.90 病毒查找加入含有 lametrapchan 字符串的频道,等待黑客命令 6、病毒名称: Linux.Mare 类别: Linux 病毒 病毒资料: 该病毒长度可变,感染 Linux 系统,它通过 PHP 的 phpbb_root_path 漏洞传播,并打开后门供黑 客下载执行远程文件,当感染此病毒时,有以下危害: A 打开后门连接以下服务器 81.223.104.152 24.224.174.18
  • 4. B 接受并执行远程的黑客下达如下命令 更新病毒 执行命令 停止病毒 C 从上述服务器下载执行远程文件 listen D 下载执行远程更新文件 update.listen E 记录信息到文件 listen.log F 扫描通过 PHP 的 phpbb_root_path 漏洞 G 对扫描到的计算机执行以下命令 http://209.136.48.69/[已删除]/cvac 7、病毒名称: Linux.Plupii 类别: Linux 病毒 病毒资料: 该病毒长度 34,724 字节,感染 Linux 系统,此病毒利用 WEB 服务器漏洞传播,并且打开后门供 黑客操作,到当收到、打开此病毒时,有以下危害: A 通过 UPD 端口 7222 发送一个通知信息给远程黑客 B 打开后门供黑客操作 C 生成包含以下内容的 URL /cgi-bin/ /scgi-bin/ /awstats/ /cgi-bin/awstats/ /scgi-bin/awstats/ /cgi/awstats/ /scgi/awstats/ /scripts/ /cgi-bin/stats/ /scgi-bin/stats/ /stats/ /xmlrpc.php
  • 6. /cgi-bin/hints.pl /scgi-bin/hints.pl /hints/hints.pl /cgi-bin/hints/hints.pl /scgi-bin/hints/hints.pl /webhints/hints.pl /cgi-bin/webhints/hints.pl /scgi-bin/webhints/hints.pl /hints.cgi /cgi/hints.cgi /scgi/hints.cgi /cgi-bin/hints.cgi /scgi-bin/hints.cgi /hints/hints.cgi /cgi-bin/hints/hints.cgi /scgi-bin/hints/hints.cgi /webhints/hints.cgi /cgi-bin/webhints/hints.cgi /scgi-bin/webhints/hints.cgi D 使用上述生成的 URL 连接发送 http 请求,尝试使用下列 WEB 漏洞传播 PHP 远程溢出漏洞 XML-RPC(ID 14088) AWStats Rawlog 插件日志文件输入漏洞(ID 10950) Darryl Burgdorf Webhints 远程执行漏洞(ID 13930) F 尝试从 http://62.101.193.244/[已删除]/lupii 下载执行病毒 G 保存下载的病毒到 /tmp/lupii 8、病毒名称: Linux.Jac.8759 类别: Linux 病毒 病毒资料: 感染长度:8759 字节
  • 7. 病毒简介:Linux.Jac.8759 是一个专门感染 Linux 系统下的文件的病毒,能够感染与其同相目录下的所有后缀为 ELF 的可执行文件。 技术特征:当 Linux.Jac.8759 被执行后,它会检测所有其相同目录下的文件,若找到有可写权限的可执行文 件,即会感染之。不过,此病毒不会感染以字母 ps 结尾的文件,也不会感染 X86(因特尔)平台下的文件。 病毒会修改被感染文件头的几个地方。其中一个修改是用来作为感染标记,这就使得病毒不会多次感同一个文 件。 9、病毒名称: Linux.Mighty.worm 类别: Unix/Linux 蠕虫 病毒资料: 技术特征: 这是一个 Linux 蠕虫,类似前段时间出现的 Slapper,都是借助运行 Apache 服务器软件的 Linux 机器进行传播。一旦找到可感染的机器,此蠕虫便会利用 OpenSSL 服务器(443 端口)的缓冲溢出漏洞来执行 远程的 shell 指令。有关此漏洞的详细信息,可浏览 http://www.kb.cert.org/vuls/id/102795. 该蠕虫是由四个文件组成: a.script.sh:初始的 shell 脚本,用来下载,编译及执行其他组件; b.devnul:32 位 x86 ELF 可执行文件,大约 19050 字节,它是蠕虫用来扫描互联网的主要部分; c.sslx.c:利用 OpenSSL 漏洞的源代码文件,由 script.sh 进行编译,供 devnul 使用; d.k:32 位 x86 ELF 可执行文件,大约 37237 字节,它是 kaiten 后门程序及 Ddos 工具的 Linux 端口。 当初始 shell 程序(script.sh)运行时,它会下载蠕虫的三个组件,并将漏洞代码文件(sslx.c) 编译成二进制 文件 sslx,然后执行 Kaiten 后门程序(K)并运行 devnul 文件。而 devnul 会扫描互联网上存在漏洞的机器, 一旦找到未打补丁的机器,它会运行 sslx 程序中的缓冲溢出漏洞代码。 蠕虫一旦进入到一个新系统并在此系统上成功运行的话,它会下载并执行 shell 脚本(script.sh),这样蠕虫的 自我繁殖过程就告完成。 10、病毒名称: Linux.Simile 类别: Win32 病毒 病毒资料: 感染长度:变化不定 危害级别:低 受影响系统:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Linux 不受影响系统:Windows, Microsoft IIS, Macintosh, Unix 技术特征: 这是一个非常复杂的病毒,利用了模糊入口端点、变形及多态加密技术,也是第一个能在 Windows 及 Linux 平 台下感染的多态变形病毒。它不含破坏性 的有效载荷,但感染文件后,会在特定日期弹出对话框,让人感觉厌
  • 8. 烦。该病毒是 Simile 家族的第四个变种,它引入了一种在 Intel Linux 平台下的新的感染机制,可感染 32 位 ELF 文件(标准的 Unix 二进制格式)。此病毒能够感染 Linux 及 Win32 系统下的 PE 及 ELF 文 件。 病毒第一次运行后,会检查当前系统日期,若病毒依附的主文件是 PE 文件,且在 3 月或 9 月 17 日这天,会弹出 一个信息框: 若主文件是 ELF 格式,则在 3 月 17 或 5 月 14 这天,病毒会输出一段类似如下的文本信息到控制面板: 该病毒已被证实能感染 Red Hat Linux6.2, 7.0 及 7.2 版本下的文件,在别的版本下也极有可能感染。被感染 文件平均增加 110K 字节,但增长的字节数随着病毒的变形引擎缩小或扩展及插入方式的不同而不同。 11、病毒名称: Linux.Slapper.B 类别: Unix/Linux 蠕虫 病毒资料: 危害级别:中 传播速度:中 技术特征: 这是一种感染 Linux 系统的网络蠕虫,与原版 Linux.Slapper.A 相似,但有一些新增功能。它会搜索运行 Apache 服务器的系统,一旦找 到能感染的机器,它就会利用 Openssl 服务器的缓冲溢出漏洞来执行远程 shell 命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795 该变种传播的时候,会携带自己的源代码,然后在每台受害机器上进行编译,使得其变成可执行文件。病毒源代 码文件名叫“。cinik.c”,会被复制到 “/tmp” 目录下,而其编译过的文件叫“。cinik”,存放在同一目录下,且作 为源代码的 UUEncoded 版本。此变种还含有一个 shell 脚本/tmp /.cinik.go,用来搜索被感染系统上的文件, 然后用蠕虫的二制码覆盖所搜索到的文件。该脚本还会将本地机器及网络的信息通过邮件发送给一个后缀为 yahoo.com 的邮件地址。 假如病毒源文件/tmp/cinik.c 被用户删除了,它会从某个站点下载源文件的副本,文件名也叫 cinik.c. 另外,被感染系统还会在 UDP 1978 端口上运行一后门服务器端程序。与所有后门程序类似,该服务器端会响应 远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,其中一条指令是在受感染机器上搜 索邮件地址。 它会扫描所有目录(三个特珠目录/proc, /dev 及/bin 除外)下的所有文件,以查找有效的邮件地址。而其中含 有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一 清单发送给远程用户起初所指定的 IP 地址。 另外,远程未授权用户还可能发送其他一些指令,如: a.DOS 攻击(TCP 或 UDP); b.打开或关闭 TCP 代理(1080 端口); c.执行任意程序; d.获得其他被感染服务器的名称; 此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的 IP 地址: A. B. 0-255.0-255
  • 9. 其中 B 是 0 到 255 之间的任意数字; A 为从下列列表中随机选择的数字: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 198 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 12、病毒名称: Linux.Slapper.C 类别: Unix/Linux 蠕虫 病毒资料: 技术特征: 这是一种感染 Linux 系统的网络蠕虫,与原版 Linux.Slapper.A 相似,但有一些新增功能。它会搜索运行 Apache 服务器的系统,一旦找 到能感染的机器,它就会利用 Openssl 服务器的缓冲溢出漏洞来执行远程 shell 命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795 该变种传播的时候,会携带自己的源代码,然后在每台受害机器上编译两个可执行程 序“。unlock.c”及"update.c",它们都创建在 “/tmp” 目录下。第一个成功编译后的可执行程序叫“httpd” ,位 于相同目录下。第二个可执行文件"update" 会监听 1052 端口,当输入正确 Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码后,它会允许大量的交互 式 shell 命令通过。另外,该变种还会将受感染机器的主机名及 IP 地址发送给指定的邮件地址。 像 Slapper.A 及 Slapper.b 一样,被 Slapper.c 感染过的系统会在 UDP 4156 端口运行一个后门服务器端程
  • 10. 序,该服务器端会响应远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,共中一条指 令是在受感染 机器上搜索邮件地址。 它会扫描所有目录(三个特殊目录/proc, /dev 及/bin 除外)下的所有文件,以查找有效的邮件地址。而其中含 有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一 清单发送给远程用户起初所指定的 IP 地址。 另外,远程未授权用户还可能发送其他一些指令,如: a.DOS 攻击(TCP 或 UDP); b.打开或关闭 TCP 代理(1080 端口); c.执行任意程序; d.获得其他被感染服务器的名称; 此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的 IP 地址: A. B. 0-255.0-255 其中 B 是 0 到 255 之间的任意数字; A 为从下列列表中随机选择的数字: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 198 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 224 225
  • 11. 226 227 228 229 230 231 232 233 234 235 236 237 238 239