从某政府部门门户站点抓取出来了,应该是通过弱密码猜测获得了系统登录权限,然后植入了该木马。
这个木马的主要目的是通过扫描某一个网段的IP地址,嗅探哪些IP开放了22端口(sshd服务),然后保存这些IP地址,而后一句木马自带的5个字典文件进行暴力猜解,而后把结果传输到瑞典(通过IP获得的地理位置)的一台服务器上。
整个目录由一个简单的shell脚本发起,对系统本身没有侵害作用,但是扫描和猜测过程中,将消耗系统大部分的网络带宽。
下面的是木马发起的shell脚本程序
File /Users/wgzhao/Sites/blog.wgzhao.com/source/downloads/code/trojan.sh could not be found
更详细的内容,你可以下载该木马进行分析。