initdz linux挖坑病毒分析
拉进ida里面反编译一下
函数名很清晰,看来是没有去掉符号信息
进入checkhost()里面
也很清楚,选择一个存活的域名作为baseurl,后面有用到来下载挖坑程序
进入checkzigw()函数
删除同类的挖坑软件,详细说一下,先pkill zigw进程,改变zigw的属性为可见可修改,使用rm -rf /etc/zigw删除zigw
进入initfile()函数,这个函数比较重要,从服务器下载了挖坑程序并且执行,将自己复制为/tmp/initdz
如果没有httpdz文件,就从服务器下载httpdz并且改属性为777,可读可写可执行
下载挖坑migrations并改成属性可执行
将rm程序改为rmm,并且替换为自己的程序
进入checkcrontab()
因该是设置定时启动,没有仔细分析。。。
竟然checkssh()
替换用户的authorized_keys,用于黑客远程ssh登陆
进入kill()函数
kill同类的挖矿软件,挖矿只能我挖????
这个so文件用于DDos攻击,杀了也好
进入checkservice()
创建挖矿服务
进入checkhost()
修改hosts文件,域名重定向到127.0.0.1使其他挖矿不能工作,挖矿只能我挖????
最后clean()
清除日志信息
history -c清除当前用户的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 删除终端历史记录