仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 589|回复: 8
打印 上一主题 下一主题

[其他Linux] linux教程之平安威逼无孔不进:基于Linux体系的病毒

[复制链接]
海妖 该用户已被删除
跳转到指定楼层
#
发表于 2015-1-16 16:30:28 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
尽我能力帮助他人,在帮助他人的同时你会深刻巩固知识。
只管在Linux里传布的病毒未几,但也是存在一些,我从一些平安站点汇集了一些材料。
 
  1、病毒称号:
 
  Linux.Slapper.Worm
 
  种别:蠕虫
 
  病毒材料:传染体系:Linux
 

  不受影响体系:Windows3.x,Windows95,Windows98,WindowsNT,Windows2000,WindowsXP,WindowsMe,Macintosh
 
  病毒传布:
 
  端口:80,443,2002
 
  传染方针:各版本Linux体系上的ApacheWeb服务器
 
  手艺特性:
 
  该蠕虫会试图不休毗连80端口,并向服务器发送有效的“GET”哀求,以辨认Apache体系。一旦发明Apache体系,它会毗连443端口,并向远程体系上的监听SSL服务发送歹意代码。
 
  此蠕虫使用了LinuxShell代码仅能在英特尔体系上运转的毛病。该代码必要有shell命令/bin/sh才干准确实行。蠕虫使用了UU编码的办法,起首将病毒源码编码成".bugtraq.c"(如许就使得只要"ls-a"命令才干显现此代码文件),然后发送到远程体系上,再对此文件举行解码。以后,它会使用gcc来编译此文件,并运转编译过的二进制文件".bugtraq".这些文件将寄存在/tmp目次下。
 
  蠕虫运转时使用IP地点作为其参数。这些IP地点是黑客打击所利用的呆板的地点,蠕虫用它来创建一个使用被传染呆板动员回绝服务打击的收集。每一个被传染的体系会对UDP端口2002举行监听,以吸收黑客指令。
 
  此蠕虫使用后缀为以下数字的流动IP地点对Apache体系举行打击:
 
  3,4,6,8,9,11,12,13,14,15,16,17,18,19,20,21,22,24,25,26,28,29,30,32,33,34,35,38,40,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,61,62,63,64,65,66,67,68,80,81,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,192,193,194,195,196,198,199,200,201,202,203,204,205,206,207,208,209,210,211,212,213,214,215,216,217,218,219,220,224,225,226,227,228,229,230,231,232,233,234,235,236,237,238,239
 
  2、病毒称号:
 
  Trojan.Linux.Typot.a
 
  种别:木马病毒
 
  病毒材料:损坏办法:
 
  该病毒是在Linux操纵体系下的木马,木马运转后每隔几秒就发送一个TCP包,其目标IP和源IP地点是随机的,这个包中存在流动的特性,包含TCPwindowsize等<在这里为55808>,同时,病毒会嗅探收集,假如发明TCP包的windowsize即是55808,就会在以后目次下天生一个文件<文件名为:r>,每隔24小时,病毒检测是不是存在文件“r”,假如存在,就会试图毗连流动的IP地点<大概为木马的客户端>,假如毗连乐成,病毒就会删除文件:/tmp/……/a并加入
 
  3、病毒称号:
 
  Trojan.Linux.Typot.b种别:木马病毒
 
  病毒材料:损坏办法:
 
  该病毒是在Linux操纵体系下的木马,木马运转后每隔几秒就发送一个TCP包,其目标IP和源IP地点是随机的,这个包中存在流动的特性,包含TCPwindowsize等<在这里为55808>,同时,病毒会嗅探收集,假如发明TCP包的windowsize即是55808,就会在以后目次下天生一个文件<文件名为:r>,每隔24小时,病毒检测是不是存在文件“r”,假如存在,就会试图毗连流动的IP地点<大概为木马的客户端>,假如毗连乐成,病毒就会删除文件:/tmp/……/a并加入
 
  4、病毒称号:
 
  W32/Linux.Bi种别:WL病毒
 
  病毒材料:W32/Linux.Bi是个跨平台病毒,长度1287字节,传染Linux,Windows2000,Windows95,Windows98,WindowsMe,WindowsNT,WindowsServer2003,WindowsXP操纵体系,它依据操纵体系范例传染以后目次的可实行文件。当收到、翻开此病毒后,有以下征象:
 
  A传染以后目次下的长度在4K和4M之间的可实行文件,(不传染windows下的dll文件)
 
  5、病毒称号:
 
  Linux.Plupii.C种别:Linux病毒
 
  病毒材料:Linux.Plupii.C是一个Linux病毒,该病毒长度40,7576字节,传染Linux,NovellNetware,UNIX体系,它经由过程体系毛病传布,该病毒传染的征象为:
 
  A在UDP端口27015翻开后门,同意黑客远程把持盘算机
 
  B天生IP地点,增加以下内容天生URL地点
 
  /cvs/
 
  /articles/mambo/
 
  /cvs/mambo/
 
  /blog/xmlrpc.php
 
  /blog/xmlsrv/xmlrpc.php
 
  /blogs/xmlsrv/xmlrpc.php
 
  /drupal/xmlrpc.php
 
  /phpgroupware/xmlrpc.php
 
  /wordpress/xmlrpc.php
 
  /xmlrpc/xmlrpc.php
 
  C向上述地点发送http哀求,实验经由过程以下毛病传布
 
  PHP的XML-RPC远程注进打击(见毛病列表ID14088
 
  http://www.securityfocus.com/bid/14088)
 
  AWStats日记插件参数输出断定毛病(见毛病列表ID10950
 
  http://www.securityfocus.com/bid/10950)
 
  Darryl核心远程实行命令毛病(见毛病列表ID13930
 
  http://www.securityfocus.com/bid/13930)
 
  D当发明存在毛病的盘算机,病毒使用毛病从198.170.105.69下载剧本文件到存在毛病的盘算机并实行
 
  E下载以下病毒到/tmp/.temp目次,传染盘算机
 
  cb(病毒Linux.Plupii.B)
 
  https(Perl剧本后门病毒)
 
  ping.txt(Perl剧本外壳后门病毒。)
 
  httpd
 
  F试图毗连预定地点的TCP端口8080,翻开一个外壳后门
 
  G翻开IRC后门,毗连以下IRC服务器
 
  eu.undernet.org
 
  us.undernet.org
 
  195.204.1.130
 
  194.109.20.90
 
  病毒查找到场含有lametrapchan字符串的频道,守候黑客命令
 
  6、病毒称号:
 
  Linux.Mare种别:Linux病毒
 
  病毒材料:该病毒长度可变,传染Linux体系,它经由过程PHP的phpbb_root_path毛病传布,并翻开后门供黑客下载实行远程文件,当传染此病毒时,有以下伤害:
 
  A翻开后门毗连以下服务器
 
  81.223.104.152
 
  24.224.174.18
 
  B承受并实行远程的黑客下达以下命令
 
  更新病毒
 
  实行命令
 
  中断病毒
 
  C从上述服务器下载实行远程文件listen
 
  D下载实行远程更新文件update.listen
 
  E纪录信息到文件listen.log
 
  F扫描经由过程PHP的phpbb_root_path毛病
 
  G对扫描到的盘算机实行以下命令http://209.136.48.69/[已删除]/cvac 
7、病毒称号:
 
  Linux.Plupii种别:Linux病毒
 
  病毒材料:该病毒长度34,724字节,传染Linux体系,此病毒使用WEB服务器毛病传布,而且翻开后门供黑客操纵,到当收到、翻开此病毒时,有以下伤害:
 

  A经由过程UPD端口7222发送一个关照信息给远程黑客
 
  B翻开后门供黑客操纵
 
  C天生包括以下内容的URL
 
  /cgi-bin/
 
  /scgi-bin/
 
  /awstats/
 
  /cgi-bin/awstats/
 
  /scgi-bin/awstats/
 
  /cgi/awstats/
 
  /scgi/awstats/
 
  /scripts/
 
  /cgi-bin/stats/
 
  /scgi-bin/stats/
 
  /stats/
 
  /xmlrpc.php
 
  /xmlrpc/xmlrpc.php
 
  /xmlsrv/xmlrpc.php
 
  /blog/xmlrpc.php
 
  /drupal/xmlrpc.php
 
  /community/xmlrpc.php
 
  /blogs/xmlrpc.php
 
  /blogs/xmlsrv/xmlrpc.php
 
  /blog/xmlsrv/xmlrpc.php
 
  /blogtest/xmlsrv/xmlrpc.php
 
  /b2/xmlsrv/xmlrpc.php
 
  /b2evo/xmlsrv/xmlrpc.php
 
  /wordpress/xmlrpc.php
 
  /phpgroupware/xmlrpc.php
 
  /cgi-bin/includer.cgi
 
  /scgi-bin/includer.cgi
 
  /includer.cgi
 
  /cgi-bin/include/includer.cgi
 
  /scgi-bin/include/includer.cgi
 
  /cgi-bin/inc/includer.cgi
 
  /scgi-bin/inc/includer.cgi
 
  /cgi-local/includer.cgi
 
  /scgi-local/includer.cgi
 
  /cgi/includer.cgi
 
  /scgi/includer.cgi
 
  /hints.pl
 
  /cgi/hints.pl
 
  /scgi/hints.pl
 
  /cgi-bin/hints.pl
 
  /scgi-bin/hints.pl
 
  /hints/hints.pl
 
  /cgi-bin/hints/hints.pl
 
  /scgi-bin/hints/hints.pl
 
  /webhints/hints.pl
 
  /cgi-bin/webhints/hints.pl
 
  /scgi-bin/webhints/hints.pl
 
  /hints.cgi
 
  /cgi/hints.cgi
 
  /scgi/hints.cgi
 
  /cgi-bin/hints.cgi
 
  /scgi-bin/hints.cgi
 
  /hints/hints.cgi
 
  /cgi-bin/hints/hints.cgi
 
  /scgi-bin/hints/hints.cgi
 
  /webhints/hints.cgi
 
  /cgi-bin/webhints/hints.cgi
 
  /scgi-bin/webhints/hints.cgi
 
  D利用上述天生的URL毗连发送http哀求,实验利用以下WEB毛病传布
 
  PHP远程溢露马脚XML-RPC(ID14088)
 
  AWStatsRawlog插件日记文件输出毛病(ID10950)
 
  DarrylBurgdorfWebhints远程实行毛病(ID13930)
 
  F实验从http://62.101.193.244/[已删除]/lupii下载实行病毒
 
  G保留下载的病毒到/tmp/lupii
 
  8、病毒称号:
 
  Linux.Jac.8759种别:Linux病毒
 
  病毒材料:传染长度:8759字节
 
  病毒简介:Linux.Jac.8759是一个专门传染Linux体系下的文件的病毒,可以传染与其同相目次下的一切后缀为ELF的可实行文件。
 
  手艺特性:当Linux.Jac.8759被实行后,它会检测一切其不异目次下的文件,若找到有可写权限的可实行文件,即会传染之。不外,此病毒不会传染以字母ps开头的文件,也不会传染X86(因特尔)平台下的文件。
 
  病毒会修正被传染文件头的几个中央。个中一个修正是用来作为传染标志,这就使抱病毒不会屡次感统一个文件。
 
  9、病毒称号:
 
  Linux.Mighty.worm种别:Unix/Linux蠕虫
 
  病毒材料:手艺特性:
 
  这是一个Linux蠕虫,相似前段工夫呈现的Slapper,都是借助运转Apache服务器软件的Linux
 
  呆板举行传布。一旦找到可传染的呆板,此蠕虫便会使用OpenSSL服务器(443端口)的缓冲溢露马脚来实行远程的shell指令。有关此毛病的具体信息,可扫瞄http://www.kb.cert.org/vuls/id/102795.
 
  该蠕虫是由四个文件构成:
 
  a.script.sh:初始的shell剧本,用来下载,编译及实行其他组件;
 
  b.devnul:32位x86ELF可实行文件,约莫19050字节,它是蠕虫用来扫描互联网的次要部分;
 
  c.sslx.c:使用OpenSSL毛病的源代码文件,由script.sh举行编译,供devnul利用;
 
  d.k:32位x86ELF可实行文件,约莫37237字节,它是kaiten后门程序及Ddos工具的Linux端口。
 
  现在始shell程序(script.sh)运转时,它会下载蠕虫的三个组件,并将毛病代码文件(sslx.c)编译成二进制文件sslx,然后实行Kaiten后门程序(K)并运转devnul文件。而devnul会扫描互联网上存在毛病的呆板,一旦找到未打补钉的呆板,它会运转sslx程序中的缓冲溢露马脚代码。
 
  蠕虫一旦进进到一个新体系并在此体系上乐成运转的话,它会下载并实行shell剧本(script.sh),如许蠕虫的自我滋生历程就告完成。
 
  10、病毒称号:
 
  Linux.Simile种别:Win32病毒
 
  病毒材料:传染长度:变更不定
 
  伤害级别:低
 
  受影响体系:Windows95,Windows98,WindowsNT,Windows2000,WindowsXP,WindowsMe,Linux
 
  不受影响体系:Windows,MicrosoftIIS,Macintosh,Unix
 
  手艺特性:
 
  这是一个十分庞大的病毒,使用了含混出口端点、变形及多态加密手艺,也是第一个能在Windows及Linux平台下传染的多态变形病毒。它不含损坏性的无效载荷,但传染文件后,会在特定日期弹出对话框,让人感到腻烦。该病毒是Simile家属的第四个变种,它引进了一种在IntelLinux平台下的新的传染机制,可传染32位ELF文件(尺度的Unix二进制格局)。此病毒可以传染Linux及Win32体系下的PE及ELF文件。
 
  病毒第一次运转后,会反省以后体系日期,若病毒依靠的主文件是PE文件,且在3月或9月17日是日,会弹出一个信息框:
 
  若主文件是ELF格局,则在3月17或5月14是日,病毒会输入一段相似以下的文本信息到把持面板:
 
  该病毒已被证明能传染RedHatLinux6.2,7.0及7.2版本下的文件,在其余版本下也极有大概传染。被传染文件均匀增添110K字节,但增加的字节数跟着病毒的变形引擎减少或扩大及拔出体例的分歧而分歧。
 
  11、病毒称号:
 
  Linux.Slapper.B种别:Unix/Linux蠕虫
 
  病毒材料:伤害级别:中
 
  传布速率:中
 
  手艺特性:
 
  这是一种传染Linux体系的收集蠕虫,与原版Linux.Slapper.A类似,但有一些新增功效。它会搜刮运转Apache服务器的体系,一旦找到能传染的呆板,它就会使用Openssl服务器的缓冲溢露马脚来实行远程shell命令。有关此毛病的具体信息,请扫瞄:http://www.kb.cert.org/vuls/id/102795
 
  该变种传布的时分,会照顾本人的源代码,然后在每台受益呆板长进行编译,使得其酿成可实行文件。病毒源代码文件名叫“。cinik.c”,会被复制到“/tmp”目次下,而其编译过的文件叫“。cinik”,寄存在统一目次下,且作为源代码的UUEncoded版本。此变种还含有一个shell剧本/tmp/.cinik.go,用来搜刮被传染体系上的文件,然后用蠕虫的二制码掩盖所搜刮到的文件。该剧本还会将当地呆板及收集的信息经由过程邮件发送给一个后缀为yahoo.com的邮件地点。
 
  假设病毒源文件/tmp/cinik.c被用户删除,它会从某个站点下载源文件的正本,文件名也叫cinik.c.
 
  别的,被传染体系还会在UDP1978端口上运转一后门服务器端程序。与一切后门程序相似,该服务器端会呼应远程未受权用户发送的特别指令,从而依据指令实行各类分歧的操纵,比方,个中一条指令是在受传染呆板上搜刮邮件地点。
 
  它会扫描一切目次(三个特珠目次/proc,/dev及/bin除外)下的一切文件,以查找无效的邮件地点。而个中含有字符串“。hlp”及与“webmaster@mydomain.com”不异的地点会被疏忽,以外的其他一切邮件地点会作为一清单发送给远程用户后来所指定的IP地点。
 
  别的,远程未受权用户还大概发送其他一些指令,如:
 
  a.DOS打击(TCP或UDP);
 
  b.翻开或封闭TCP代办署理(1080端口);
 
  c.实行恣意程序;
 
  d.取得其他被传染服务器的称号;
 
  此变种在扫描大概存在毛病的呆板时,会反省切合以下情势的IP地点:
 
  A.B.0-255.0-255
 
  个中B是0到255之间的恣意数字;
 
  A为从以下列表中随机选择的数字:
 
  3468911121314
 
  151617181920212224
 
  252628293032333435
 
  384043444546474849
 
  505152535455565761
 
  626364656667688081
 
  128129130131132133134135136
 
  137138139140141142143144145
 
  146147148149150151152153154
 
  155156157
12下一页


vim除非你打算真正的学好linux,或者说打算长久时间学习他,而且肯花大量时间vim,否则,最好别碰
再见西城 该用户已被删除
8#
发表于 2015-3-25 09:13:45 | 只看该作者
我感觉linux的学习,学习编程~!~!就去学习C语言编程!!
愤怒的大鸟 该用户已被删除
7#
发表于 2015-3-17 23:16:21 | 只看该作者
发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。
admin 该用户已被删除
6#
发表于 2015-3-11 07:35:02 | 只看该作者
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
简单生活 该用户已被删除
5#
发表于 2015-3-2 23:39:20 | 只看该作者
选择一些适于初学者的Linux社区。
分手快乐 该用户已被删除
地板
发表于 2015-2-12 04:12:00 | 只看该作者
放手去搞。尽量不要提问,运用搜索找答案,或者看wiki,从原理上理解操作系统的本质,而不是满足于使用几个技巧。尽量看英文资料。
乐观 该用户已被删除
板凳
发表于 2015-1-27 16:13:14 | 只看该作者
其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
小女巫 该用户已被删除
沙发
发表于 2015-1-18 18:20:06 | 只看该作者
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
海妖 该用户已被删除
楼主
 楼主| 发表于 2015-1-16 17:34:55 | 只看该作者

linux教程之平安威逼无孔不进:基于Linux体系的病毒

当你经过一段时间的学习后就应该扩充自己的知识,多学习linux命令,但是不要在初学阶段就系统的学习linux命令。
170171172173174175
 
  176177178179180181182183184
 
  185186187188189190191192193
 
  194195196198200201202203204
 
  205206207208209210211212213
 
  214215216217218219220224225
 
  226227228229230231232233234
 
  235236237238239
 
  12、病毒称号:
 
  Linux.Slapper.C种别:Unix/Linux蠕虫
 
  病毒材料:手艺特性:
 
  这是一种传染Linux体系的收集蠕虫,与原版Linux.Slapper.A类似,但有一些新增功效。它会搜刮运转Apache服务器的体系,一旦找到能传染的呆板,它就会使用Openssl服务器的缓冲溢露马脚来实行远程shell命令。有关此毛病的具体信息,请扫瞄:http://www.kb.cert.org/vuls/id/102795
 
  该变种传布的时分,会照顾本人的源代码,然后在每台受益呆板上编译两个可实行程序“。unlock.c”及"update.c",它们都创立在“/tmp”目次下。第一个乐成编译后的可实行程序叫“httpd”,位于不异目次下。第二个可实行文件"update"会监听1052端口,当输出准确Frethem/index.htm"target="_blank"style=text-decoration:underline;color:#0000FF>暗码后,它会同意大批的交互式shell命令经由过程。别的,该变种还会将受传染呆板的主机名及IP地点发送给指定的邮件地点。
 
  像Slapper.A及Slapper.b一样,被Slapper.c传染过的体系会在UDP4156端口运转一个后门服务器端程序,该服务器端会呼应远程未受权用户发送的特别指令,从而依据指令实行各类分歧的操纵,比方,共中一条指令是在受传染呆板上搜刮邮件地点。
 
  它会扫描一切目次(三个特别目次/proc,/dev及/bin除外)下的一切文件,以查找无效的邮件地点。而个中含有字符串“。hlp”及与“webmaster@mydomain.com”不异的地点会被疏忽,以外的其他一切邮件地点会作为一清单发送给远程用户后来所指定的IP地点。
 
  别的,远程未受权用户还大概发送其他一些指令,如:
 
  a.DOS打击(TCP或UDP);
 
  b.翻开或封闭TCP代办署理(1080端口);
 
  c.实行恣意程序;
 
  d.取得其他被传染服务器的称号;
 
  此变种在扫描大概存在毛病的呆板时,会反省切合以下情势的IP地点:
 
  A.B.0-255.0-255
 
  个中B是0到255之间的恣意数字;
 
  A为从以下列表中随机选择的数字:
 
  3468911121314
 
  151617181920212224
 
  252628293032333435
 
  384043444546474849
 
  505152535455565761
 
  626364656667688081
 
  128129130131132133134135136
 
  137138139140141142143144145
 
  146147148149150151152153154
 
  155156157170171172173174175
 
  176177178179180181182183184
 
  185186187188189190191192193
 
  194195196198200201202203204
 
  205206207208209210211212213
 
  214215216217218219220224225
 
  226227228229230231232233234
 
  235236237238239
 </P></p>
上一页12


当你经过一段时间的学习后就应该扩充自己的知识,多学习linux命令,但是不要在初学阶段就系统的学习linux命令。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-24 02:29

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表