当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 8 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-10 22:34 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
1、病毒名称:
 
  Linux.Slapper.Worm
 
  类别: 蠕虫
 
  病毒资料: 感染系统:Linux
 
  不受影响系统:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh

  病毒传播:
 
  端口:80, 443, 2002
 
  感染目标:各版本Linux系统上的Apache Web服务器
 
  技术特征:
 
  该蠕虫会试图不断连接80端口,并向服务器发送无效的“GET”请求,以识别Apache系统。一旦发现Apache系统,它会连接443端口,并向远程系统上的监听SSL服务发送恶意代码。
 
  此蠕虫利用了Linux Shell代码仅能在英特尔系统上运行的漏洞。该代码需要有shell命令/bin/sh才能正确执行。蠕虫利用了UU编码的方法,首先将病毒源码编码成".bugtraq.c"(这样就使得只有"ls -a"命令才能显示此代码文件),然后发送到远程系统上,再对此文件进行解码。之后,它会利用gcc来编译此文件,并运行编译过的二进制文件".bugtraq".这些文件将存放在/tmp目录下。
 
  蠕虫运行时利用IP地址作为其参数。这些IP地址是黑客攻击所使用的机器的地址,蠕虫用它来建立一个利用被感染机器发动拒绝服务攻击的网络。每个被感染的系统会对UDP端口2002进行监听,以接收黑客指令。
 
  此蠕虫利用后缀为如下数字的固定IP地址对Apache系统进行攻击:
 
  3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239
 
  2、病毒名称:
 
  Trojan.Linux.Typot.a
 
  类别: 木马病毒
 
  病毒资料: 破坏方法:
 
  该病毒是在Linux操作系统下的木马,木马运行后每隔几秒就发送一个TCP包,其目的IP和源IP地址是随机的,这个包中存在固定的特征,包括 TCP window size等<在这里为55808>,同时,病毒会嗅探网络,如果发现TCP包的window size等于55808,就会在当前目录下生成一个文件<文件名为:r>,每隔24小时,病毒检测是否存在文件 “r”,如果存在,就会试图连接固定的IP地址<可能为木马的客户端>,如果连接成功,病毒就会删除文件:/tmp/……/a并退出
 
  3、病毒名称:
 
  Trojan.Linux.Typot.b 类别: 木马病毒
 
  病毒资料: 破坏方法:
 
  该病毒是在Linux操作系统下的木马,木马运行后每隔几秒就发送一个TCP包,其目的IP和源IP地址是随机的,这个包中存在固定的特征,包括 TCP window size等<在这里为55808>,同时,病毒会嗅探网络,如果发现TCP包的window size等于55808,就会在当前目录下生成一个文件<文件名为:r>,每隔24小时,病毒检测是否存在文件 “r”,如果存在,就会试图连接固定的IP地址<可能为木马的客户端>,如果连接成功,病毒就会删除文件:/tmp/……/a并退出
 
  4、病毒名称:
 
  W32/Linux.Bi 类别: WL病毒
 
  病毒资料: W32/Linux.Bi 是个跨平台病毒,长度 1287 字节,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系统,它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后,有以下现象:
 
  A 感染当前目录下的长度在4K和4M之间的可执行文件,(不感染windows下的dll文件)
 
  5、病毒名称:
 
  Linux.Plupii.C 类别: Linux病毒
 
  病毒资料: Linux.Plupii.C 是一个Linux病毒,该病毒长度 40,7576 字节,感染 Linux, Novell Netware, UNIX 系统,它通过系统漏洞传播,该病毒感染的现象为:
 
  A 在 UDP 端口 27015 打开后门,允许黑客远程控制计算机
 
  B 生成 IP 地址,添加以下内容生成 URL 地址
 
  /cvs/
 
  /articles/mambo/
 
  /cvs/mambo/
 
  /blog/xmlrpc.php
 
  /blog/xmlsrv/xmlrpc.php
 
  /blogs/xmlsrv/xmlrpc.php
 
  /drupal/xmlrpc.php
 
  /phpgroupware/xmlrpc.php
 
  /wordpress/xmlrpc.php
 
  /xmlrpc/xmlrpc.php
 
  C 向上述地址发送http请求,尝试通过以下漏洞传播
 
  PHP 的 XML-RPC 远程注入攻击 (见漏洞列表 ID 14088
 
  http://www.securityfocus.com/bid/14088 )
 
  AWStats日志插件参数输入确定漏洞 (见漏洞列表 ID 10950
 
  http://www.securityfocus.com/bid/10950 )
 
  Darryl 外围远程执行命令漏洞 (见漏洞列表 ID 13930
 
  http://www.securityfocus.com/bid/13930 )
 
  D 当发现存在漏洞的计算机,病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并执行
 
  E 下载以下病毒到/tmp/.temp目录,感染计算机
 
  cb (病毒 Linux.Plupii.B)
 
  https (Perl脚本后门病毒)
 
  ping.txt (Perl脚本外壳后门病毒。)
 
  httpd
 
  F 试图连接预定地址的 TCP 端口 8080 ,打开一个外壳后门
 
  G 打开 IRC 后门,连接以下 IRC 服务器
 
  eu.undernet.org
 
  us.undernet.org
 
  195.204.1.130
 
  194.109.20.90
 
  病毒查找加入含有lametrapchan 字符串的频道,等待黑客命令

更多:http://linux.chinaitlab.com/safe/768721_2.html


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-10 22:38 
头像

注册: 2008-10-20 21:24
帖子: 371
送出感谢: 3
接收感谢: 1
:em20 哇,这么厉害,那要怎么防范呢?


_________________
一個憂國憂民的摩托車搭客仔


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-10 23:59 
头像

注册: 2007-10-21 16:41
帖子: 1289
地址: GD
送出感谢: 0 次
接收感谢: 0 次
怕怕。。。


_________________
吼吼


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-21 2:28 
头像

注册: 2008-05-03 23:05
帖子: 383
送出感谢: 0 次
接收感谢: 0 次
实在不放心就装个firestarter呗,至少会把不该开的端口都自动关掉


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-21 2:39 
头像

注册: 2006-04-12 20:05
帖子: 8495
地址: 杭州
送出感谢: 0 次
接收感谢: 8
有源码不?


_________________
关注我的blog: ε==3


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-21 8:10 
头像

注册: 2008-04-02 13:26
帖子: 3331
地址: 上海
送出感谢: 0 次
接收感谢: 1
开源吗?


_________________
Blog: http://ttboke.com/ubuntu/
Google+: http://gplus.to/jandyzhu


页首
 用户资料  
 
7 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-21 8:16 
头像

注册: 2007-12-12 22:54
帖子: 156
送出感谢: 0 次
接收感谢: 0 次
没什么破坏力,中了也不怕


页首
 用户资料  
 
8 楼 
 文章标题 : Re: 认识一些基于Linux系统的木马病毒
帖子发表于 : 2008-11-21 8:35 
头像

注册: 2006-10-25 18:10
帖子: 2677
地址: 长沙
送出感谢: 0 次
接收感谢: 0 次
如果是通过漏洞攻击的,那这些漏洞早就修复了。


_________________
你是自由的。别人也是。


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 8 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译