V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fxxkgw
V2EX  ›  信息安全

有安全方面大佬来看看这个恶意程序么?

  •  
  •   fxxkgw · 2018-02-05 13:03:45 +08:00 · 3071 次点击
    这是一个创建于 2488 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一台外网服务器不幸被入侵,留下三个文件
    [root@XXX ~]# md5sum pty
    3bd292eea1201ffa19a428807376c6b2 pty

    [root@XXX ~]# md5sum udevd
    9012234fa320b3fd8f3c430929fdd699 udevd

    [root@XXX ~]# md5sum vyattad
    341869dfb1c51fbb2a59e77163cf83fd vyattad

    和一个 crontab 任务
    [root@XXX ~]# crontab -l

            • /root/pty > /dev/null 2>&1 &

    google 一凡,知道这是个 SSH 相关病毒,但限于安全知识有限,有大佬遇到过这种问题或者有相关反汇编知识分析下咯。。
    病毒文件可以从 http://malwareanalysis.tech/2017/01/brute-force-ssh-attack-from-ip-72-202-134-97-downloaded-trojan-linux-tsunami-from-ip-52-74-21-59/ 获得。

    3 条回复    2018-02-05 15:51:23 +08:00
    idcspy
        1
    idcspy  
       2018-02-05 15:22:14 +08:00
    ssh 爆破。
    CEBBCAT
        2
    CEBBCAT  
       2018-02-05 15:42:02 +08:00
    临时文件分享可以看一看这篇帖子: https://sspai.com/post/42833

    里面提到的 SendAnywhere 可能适合你
    jackyzy823
        3
    jackyzy823  
       2018-02-05 15:51:23 +08:00
    我觉得还是先研究一下外网服务器上的哪个服务有漏洞,有没有重要信息被那啥之类的比较好(
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5444 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:52 · PVG 13:52 · LAX 21:52 · JFK 00:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.