Linux后门XnoteDDoS2病毒分析与处理方案

最新推荐文章于 2024-05-07 08:31:17 发布
最新推荐文章于 2024-05-07 08:31:17 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momo_sleet/article/details/81099064
版权

0x0 事件背景

某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象恶意进程删除后会自动重启,无法彻底删除。

 

0x1 初步分析

通过线程检查发现,系统存在二个对外发起连接的进程

外联地址均为HK的IP地址,黑客朋友都懂得,毕竟方便且价格便宜。

根据对二个对外发起连接的恶意进程进行追溯,发现其中一个进程的父进程PID信息,通过检查发现伪装的电源进程kthreadd且三个相为守护进程。同时删除三个进程之后一段时间后依然会重新运行。

0x2 详细分析

对伪装threadd进程进行进一步分析,发现其中的存在可疑的模块。依稀还能看到有Linux流行病毒BackDoor.XnoteDDoS的类似之处。

 

通过对源码与内存中的信息进行分析,发现病毒程序启动时会释放相关文件到/var/tmp/目录下,运行完之后自动删除。

备份的病毒母体dump_tcp文件到/usr/sbin/目录之下,释放另外一个通信进程cupsd到/user/local目录下。

同时生成一个名为nfsiod的反弹shell,反编译之后如下:

最低0.47元/天 解锁文章
si1ence_whitehat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统病毒木马排查清除方法
yeyiboy的博客
05-04 3299
Linux: 1.检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) 注:此时last命令也有可能变得不可靠,需要检查 --------------------- 2.检查系统用户 查看是否有异常的系统用户 [root@yeyiboy-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [root@yeyiboy-IDC ~]# grep “0” /etc/passwd 查看p.
Linux系统处理木马病毒的思路
weixin_33948416的博客
01-01 403
一、清除木马程序步骤 1.1 执行命令,每1秒刷新一次,显示整个命令路径,而不是命令的名称。 [root@linux-node1 ~]# top -d 1 -c 1.2 查找可疑进程(比较奇怪的进程名称)如:sshz、crond.conf、.sshd等 1.3 发现可疑进程后,记录PID,然后执行如下命令 [root@linux-node1 ~]# kill -STOP PI...
Linux常见后门(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
05-07 2314
Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。黑客通过多种方式在目标计算机上安装 Rootkit:最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
linux机器中毒,Centos系统中毒(sfewfesfs)处理过程记录
weixin_42309599的博客
05-14 790
Centos系统中毒(sfewfesfs)处理过程记录2014年10月16日今天是我的班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是我们的云平台manager。它的中毒不仅影响了自己本身的云主机而且影响到了整个平台,作为一个运维人员的我一时间不知所措,但是问题总是要解决靠别人不如靠自己到什么时候都是如此废话不多说具体的排查步骤如下:1、用top性...
Linux服务器中了挖矿的病毒,成功清理
编程还未
04-13 3011
Linux服务器中了挖矿病毒,成功清理
Linux 内存泄露检测技巧
热门推荐
志存高远
10-16 1万+
由于 C 和 C++ 程序中完全由程序员自主申请和释放内存,稍不注意,就会在系统中导入内存错误。同时,内存错误往往非常严重,一般会带来诸如系统崩溃,内存耗尽这样严重的后果。无论何时何地发生内存泄漏,都可能表现为应用程序完全无法接受,同时内存泄漏不是显而易见[1]。存在内存错误的 C 和 C++ 程序会导致各种问题。如果它们泄漏内存,则运行速度会逐渐变慢,并最终停止运行;如果覆盖内存,则会变得非常脆
Linux内核级后门的原理及简单实战
08-10
Linux内核级后门的原理及简单实战】 在深入探讨Linux内核级后门之前,首先要理解Linux操作系统的架构。Linux是一个基于保护模式的系统,主要运行在i386 CPU上。保护模式将内存划分为两部分:内核区域和用户区域。...
简单的Linux查找后门思路和shell脚本分享
09-15
主要介绍了简单的Linux查找后门思路和shell脚本分享,本文的方法相对简单,提了一个思路和简单的Shell实现脚本,需要的朋友可以参考下
linux后门N种姿势.pdf
08-07
前言 后门概述及种类 常见后门功能 Rootkit 发现及检测 后续处理
南开大学复习资料-计算机病毒分析0001.docx
12-16
计算机病毒分析 计算机病毒是一种恶意程序,可以损害计算机系统和数据的安全。计算机病毒分析是指通过分析计算机病毒的特征和行为来检测和消除计算机病毒的过程。 计算机病毒的定义和类型 计算机病毒是指编制或者...
Linux下查找后门程序 CentOS 查后门程序的shell脚本
01-20
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现。 一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经...
PHP卡云卡盟源码去后门病毒 完美可运营
06-10
综上所述,PHP卡云卡盟源码去后门病毒版提供了安全可靠的虚拟商品交易解决方案,不仅具备完整的业务流程,还通过安全审查,降低了运营风险。对于想要搭建卡盟平台的企业或个人来说,这是一个值得考虑的选择。在实际...
10991-10771linux木马和后门程序&linux异常处理.rar
10-15
测试网络恶意程序的攻防,和删除异常程序,网络不知攻燕之坊,资源没有解压密码,请放心绝对安全,建议内网测试使用。 如何处理linux恶意程序?五个步骤彻底清除木马 里面有具体操作步骤和工具
实战Linux vim后门
04-03
通过个性化配置和插件系统,用户可以定制快捷键、颜色方案等。Vim 还可以作为图形化编辑器,在不同操作系统上运行,并与版本控制系统集成。总之,Vim 是一款高效、灵活的编辑器,为用户提供优秀的编辑体验。 0x00 ...
新型ASP后门源代码分析
10-31
ASP后门源代码分析 本篇文章将对新型ASP后门源代码进行深入分析,以帮助读者更好地理解 ASP 后门的工作原理和检测方法。 一、ASP 后门简介 ASP 后门是一种恶意代码,旨在通过 Web 应用程序来控制感染的计算机。...
heartbeat 高可用nfs服务器 不能停止nfsd 无法重启nfs
韦远科的专栏
06-12 3201
最近在用heartbeat构建一个高可用的nfs服务器,heartbeat的配置很顺利,一共也就需要修改三个配置文件。 通过heartbeat可以启动nfs服务,并且当一台机器down掉之后,nfs服务也可以切换到另一台机器上。 但是存在的一个问题是:运行heartbeat stop时,停止脚本无法完全终止nfs服务,系统中残留有nfsd进程,导致后续nfs服务的启动出现问题。
服务器遭受的一次攻击
GodsLeft的专栏
10-02 785
服务器宕机了,平常都是在服务器上工作,但是我并非服务器的管理员,服务器的管理也比较乱,很多人都有root权限 过了几天没有人管,没办法我只好去机房,其实只要简单的重启一下就好了,但是我很气愤,是谁!究竟是谁!把服务器搞崩了。 到了机房之后,发现服务器并不是关机了,使用root用户登录之后,我先ping了外网,ping不通,很奇怪,然后我使用了history命令,查看了root用户最后执行的几条
Linux权限维持—后门
good good study
04-18 3720
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值