linux – 恶意软件“/usr/bin/fuck”和“/usr/bin/fake.cfg”受损服务器
作者:互联网
我不是问如何处理受损的盒子.
具体来说,我问是否有人有黑客/恶意软件的经验,其他文件留下文件“/usr/bin/fake.cfg”和“/usr/bin/fuck”.我可以看到它正在做什么以及如何做.我意识到最合适的做法是脱离互联网,打捞,重建.
我很想知道更多关于这种特殊入侵的信息.我经常不会被黑客攻击或发现自己受到攻击的机器 – 我有机会将其转化为学习机会.
有没有人有这种特殊入侵的经历?我可能会看到任何建议.
一百万年前,FBI过去常常保留一个有用的数据库.自911以来,它变得毫无用处.
想法?
解决方法:
出于好奇,我发现了这一点,他们是否讨论了对恶意软件攻击的分析.
关于假和他妈的,经常攻击者加载工具以方便他们的工作.
关于fake.cfg,Linux中确实有一个名为fake的util.
$apt-cache search fake | grep ^fake
fake - IP address takeover tool
Fake is a utility that enables the IP address be taken over by
bringing up a second interface on the host machine and using
gratuitous arp. Designed to switch in backup servers on a LAN.
所以我怀疑假可能是一种方式:
– 规避防火墙规则;
– 到达其他网络;
– 在攻击Internet中的其他服务器时,一次使用网络的多个IP生成数据包/垃圾邮件以逃避黑名单/ fail2ban / apache mod.
至于他妈的,目标不太明确.
我找到了这个:
https://github.com/nvbn/thefuck
Magnificent app which corrects your previous console command.
fuck命令使用规则替换来运行上一个命令并进行修改.我在这里假设它被用作在历史记录中自动化/混淆/监视攻击者运行的一些实际命令的基本工具.
除了其他人已经提到的调试器,为了跟进他们的活动,我建议使用strace,sysdig或dtrace4linux.它们是跟踪内核调用细节的绝佳工具.
要跟踪受感染I / O中打开的所有文件,请运行:
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
Snoop file opens as they occur (with sysdig)
从:
http://www.sysdig.org/wiki/sysdig-examples/
Sysdig能够显示所有内容,包括正在写入的文件的缓冲区或通过网络发送的数据.
不用说,您应该在运行这些命令之前备份和隔离服务器.
标签:malware,linux,security 来源: https://codeday.me/bug/20190813/1645396.html