远程shell特洛伊木马病毒

最新推荐文章于 2022-06-06 21:22:02 发布
最新推荐文章于 2022-06-06 21:22:02 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 黑客技术 文章标签: shell fp header file linux makefile
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ucshng/article/details/1629871
版权

                

LinuxAid

综述

  2001年9月5日,Qualys发布了一个关于基于Linux病毒的安全报警。这个病毒叫作"远程shell特洛伊木马(Remote Shell Trojan)",攻击Linux ELF格式的二进制可执行文件。它具有复制自己的能力:当被运行时,它就会感染所有/bin目录和当前目录下的所有二进制文件。除此之外,这个病毒还产生一个进程,在5503 UDP端口上监听。当这个进程收到一个特制的报文之后,就通过一个系统调用连接到源地址。

细节

  通常,在UNIX系统中病毒不算是一种真正的威胁。一个病毒工作在普通用户权限下的病毒是不能感染没有写权限的二进制文件的。不过每次执行被感染的可执行文件,它就会感染当前目录下的二进制可执行文件,因此还是有一定的威胁的。一旦在root权限下,不小心执行了被病毒感染的文件,它就会感染这个/bin目录下的文件。一旦执行了象ls之类常用的系统命令,当前目录下的所有目录中的二进制可执行文件都会被感染。攻击者还可以通过RST的后门进程获得更高的权限。

来源

  RST是处于研究目的开发的,只在内部使用。研究它的目标是分析如何使病毒在非root权限条件下,影响通常的Linux工作环境。然而,事情却并没有按照研究人员设想的方向发展。一个被感染的二进制可执行文件意外地把这个病毒泄露出实验室。

  现在最关心的问题是如何阻止这个病毒的传播,以及尽可能地从被感染的主机中清除这个病毒。现在公众还不清楚发送到后门进程的报文格式。然而,将来通过逆向工程,人们可以获得这些技术细节。

解决方案

  最好能够使二进制可执行文件将来能够具有对RST的免疫力。把ELF文件正文段增加4096字节,是正文段和数据段之间的空洞(hole)消失,可以提高系统对RST病毒的免疫力。采取了这种措施以后,RST病毒就没有空间在二进制可执行文件中写入自身的代码了。

  这段清除病毒的代码非常简单易用。用户能够决定是否递归地自动检测清除RST病毒。或者对二进制可执行文件一个一个地使用这个清除程序,在这种模式下,系统管理者可以知道二进制可执行文件是否感染,是否具有免疫能力。

  清除程序的简单用法:

% perl Recurse.pl remove

结论

  再次建议所有使用Linux系统的人运行这个检测程序检查系统是否被感染。即使系统没有被感染,也应该采取措施使系统具有免疫能力。只有这样才可以使系统免受感染。

代码

Recurse.pl


#!/usr/bin/perl

use strict;

sub RecursiveDeinfect($);
my $path_to_cleaner = "./kill";
my $options_to_cleaner = "";
my $verbose;

if($ARGV[0] eq "-v") { $verbose = shift; }

$_ = $ARGV[0];
if(/detect/) {
$options_to_cleaner = "1";
print "Recursively detecting trojan starting in: ", $ARGV[1]' '"/", "
";
} elsif(/remove/) {
$options_to_cleaner = "2";
print "Recursively removing trojan starting in: ", $ARGV[1]' '"/", "
";
} elsif(/immune/) {
$options_to_cleaner = "4";
print "Recursively making all binaries starting in: ", $ARGV[1]' '"/", "immune
";
} else {
print "usage: $0 [-v] mode [startdir]
".
"where mode is one of the following:
".
" detect : Recursively detect trojan
".
" remove : Recursively remove trojan if trojan is present.
".
" immune : Recursively remove trojan if trojan is present.
".
" Make all innocent binaries immune for future infection
".
"The default startdir is /
";
exit(0);
}


RecursiveDeinfect($ARGV[1]' '"/");

sub RecursiveDeinfect($) {
my $startdir = shift;
my $filename;
my $ret;

return unless(opendir(my $DH, $startdir));

print "Checking $startdir for infected binaries..
" if($verbose);

while($filename = readdir($DH)) {
next if($filename eq "." or $filename eq "..");
next if(-l "$startdir/$filename");
stat("$startdir/$filename");
RecursiveDeinfect("$startdir/$filename") && next if(-d _);
next unless(-f _ && -x _);
$ret = qx($path_to_cleaner $options_to_cleaner '

最低0.47元/天 解锁文章
ucshng
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一句话木马拿Shell与菜刀原理
悦分享
07-12 1463
1. 直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就加个空格或是利用IIS6.0解析漏洞,常见格式:1.asp;1.jpg 或 1.asp;.jpg 或 1.asp;jpg2. 有时上传图片格式的木马,居然被程序检测拦截了,右键记事本打开木马,在代码最前面加上gif89a,再数据库备份备份成asp格式的木马拿下shell。3. 上传图片格式木马,复制地址到数据库备份备份成asp格式木马,有时不成功的话,就利用IIs6.0解析漏洞,格式:1.asp;
Java调用远程Shell脚本
02-28
Java调用远程Shell脚本是Java开发中一种常见的任务,特别是在需要远程管理系统或者自动化运维的场景下。在本文中,我们将深入探讨如何使用Java来执行远程Shell命令,以及涉及的相关知识点。 首先,Java调用远程...
清除Linux挖矿病毒
三少
03-21 1974
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
远程管理特洛伊木马(RAT)病毒
E网无涯的专栏
08-13 2918
远程管理特洛伊木马(RAT)病毒 RATs   The world of malicious software is often divided into two types: viral and nonviral. Viruses are little bits of code that are buried in other codes. When the “host” codes a
特洛伊木马服务器源代码
Uncommon的专栏
01-19 4043
特洛伊木马服务器源代码(C#)作者:wgscd引自:http://www.putfly.com/show.aspx?id=229&cid=13 http://www.putfly.com/show.aspx?ID=229&cid=13&page=2 using System;using System.Drawing;using System.Collections;using Sy
特洛伊木马服务器源代码(C#)
wgscd blog
12-22 894
特洛伊木马服务器//wgscd 2004-12  QQ:153964481using System;using System.Drawing;using System.Collections;using System.ComponentModel;using System.Windows.Forms;using System.Data;using System.IO;using System.Ne
SHELL病毒简介
weixin_30788731的博客
08-07 635
SHELL病毒简介 作者:watercloud 1. 前言 说起病毒总有点神秘的味道,想起以前用汇编编写第一个dos病毒时是那么的痛苦从开始有设想到完成花了3个多月,而且写的也是乱七八糟,最近突发奇想不就是感染其他文件,传播自己吗,用shell写一个病毒且不是非常简单,于是顺手写了如下这么一个小脚本,功能就是感染其他shell程序。 这个程序在现实意义不大,但对于形象的理解病毒传播机制还是...
远程shell调用.rar
12-16
SSH(Secure Shell)协议就是一种安全的远程登录协议,而Java SSH2库则为开发者提供了在Java应用程序中实现SSH功能的能力。这个“远程shell调用.rar”文件包含了一个基于Java的工具,它允许开发者通过SSH连接到Linux...
shell远程连接工具
08-11
Shell远程连接工具是一种用于在本地计算机上通过网络与远程服务器进行交互的软件。在这个场景下,我们关注的是“xshell7”,这是一款流行的Linux/Unix系统远程管理工具,尤其受到IT专业人员的喜爱。Xshell 7 提供了...
VBScript 打造自己的远程CMDShell附使用教程
09-05
《VBScript创建远程CMDShell详解及使用教程》 在网络安全领域,远程CMDShell是一个常见的工具,它允许用户通过网络在远程计算机上执行命令。本文将详细介绍如何使用VBScript创建一个远程CMDShell,并结合nc(Netcat...
IP:使用Termux获取有关受害者的信息的工具
05-08
关于IP工具: IP是一个简单的python脚本,可用于IP查找和获取目标IP的信息。 此工具可在根目录为Android的设备和非根目录为Android的设备上使用。 IP适用于: Termux Linux 安装: 首先更新您的环境并安装python2 / 3和git并请求库。 $ apt-get update -y $ apt-get upgrade -y $ pkg install python -y $ pkg install python2 -y $ pkg install git -y $ pip install requests 现在克隆存储库并进入它。 $ git clone https://github.com/yezz123/IP $ cd IP $ python IP.py -h 用法 : 您可以使用-h获得帮助,您也可以通过以下方式直接运行它: $ p
ftp.rar_FTP SHELL_linux 远程shell_shell
09-24
在这个“ftp.rar_FTP SHELL_linux 远程shell_shell”的压缩包中,我们主要关注的是如何使用FTP在Linux环境中创建一个远程shell,以便进行系统管理或者文件操作。 FTP Shell,即通过FTP协议实现的命令行交互式环境,...
特洛伊木马脚本linux,手动查杀特洛伊木马
weixin_42348363的博客
04-30 968
首先也是最重要的,重新启动电脑到安全模式下,让所有文件都可见。然后进入到C:看看根目录是否存在不熟悉的文件,如果有,且日期为发现中毒现象当天,则删除之。接着到c:\windows,首先按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且为没有见过的删除之。再进system32 同样按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且扩展名明显有问题的,比如“...
【网络攻防原理与技术】第6章:特洛伊木马
Godam
06-06 2033
恶意代码指在不为人知的情况下侵入用户的计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。与正常代码相比,具有非授权性、破坏性等特点。在计算机程序中插⼊的破坏计算机功能并能⾃我复制的⼀组程序代码。依 附于正常的软件或者⽂件中。不能独⽴运⾏。主要表现(特点):传染性、潜伏性、可触发性、寄生性、非授权性、破坏性计算机病毒的结构:通过计算机⽹络⾃我复制,消耗系统资源和⽹络资源的程序有以下几个模块:指⼀种与远程计算机建⽴连接,使远程计算机能够通过⽹络控制本地计算 机的程序。分为以下几类:⽊⻢体系结
特洛伊木马源攻击
qq_53460654的博客
11-19 990
L3HCTF的一道题 当时沉迷于什么什么杯中,所以没怎么打 现在来记录一下 攻击原理 cve-2021-42574 <?php error_reporting(0); if ("admin" == $_GET[username] & ‮⁦ + !!⁩⁦ & "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to include "flag.php"; echo $flag; } show_source(__FI
祭----------------一次查杀linux木马的经历
Stephen.G
02-19 1285
症状表现: 公司内部网络有一天突然开始卡顿,有几个应用特别慢。网络人员查网络,发现有一台机子在大量的发送数据,大概每秒百兆这样子。 -------------------------------------------华丽丽的分割线----------------------------------------------------- 查找原因: 安装iftop: 由于那台机子没有装i
特洛伊木马
孤的博客
04-16 3473
特洛伊木马(Trojan Horse) 是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。 木马的组成 硬件:控制端、服务端、Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端IP, 控制、服务端Port 流行木马的基本特征 1、隐蔽性是其首要的特征 木马和远程控制软件的最主要区别 不产...
android 远程shell
最新发布
06-02
Android远程Shell可以通过使用adb命令行工具来实现。adb是Android Debug Bridge的缩写,是一个用于与Android设备通信的命令行工具。下面是连接到Android设备并执行远程Shell命令的步骤: 1. 确保ADB已经安装在您的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值