帶有惡意軟體“/usr/bin/fuck”和“/usr/bin/fake.cfg”的受感染伺服器
我不是在問如何處理受損的盒子。具體來說,我想問是否有人在其他文件中留下了文件“/usr/bin/fake.cfg”和“/usr/bin/fuck”的黑客/惡意軟體經驗。我可以部分看到它在做什麼以及如何做。我意識到最合適的做法是斷開網際網路連接、打撈、重建。
我很想了解更多關於這次特殊入侵的資訊。我不會經常被黑客入侵或發現自己在受感染的機器上——我有這個機會,我想把它變成一個學習機會。
有人對這種特殊的入侵有過經驗嗎?任何我可能看的建議。
一百萬年前,聯邦調查局曾經為這類事情保留一個有用的數據庫。自 911 以來,它變得非常無用。
想法?
出於好奇,我發現了這一點,他們是否在討論對惡意軟體攻擊的分析。
關於虛假和他媽的,攻擊者通常會載入工具以促進他們的工作。
關於 fake.cfg,Linux 中確實有一個叫做 fake 的 util。
$apt-cache search fake | grep ^fake fake - IP address takeover toolFake 是一個實用程序,它可以通過在主機上打開第二個介面並使用免費 arp 來接管 IP 地址。設計用於切換 LAN 上的備份伺服器。
所以我懷疑假貨可能是一種方式:
逃避防火牆規則;
到達其他網路;
一次使用網路的多個 IP 生成數據包/垃圾郵件,以在攻擊整個 Internet 中的其他伺服器時規避黑名單/fail2ban/apache mod 規避。
至於他媽的,目標不太明確。
我找到了這個:
https://github.com/nvbn/thefuck
更正您以前的控制台命令的宏偉應用程序。
fuck 命令使用規則替換來執行前一個命令並進行修改。我在這裡假設它被用作在歷史記錄中自動化/混淆/監控攻擊者執行的一些實際命令的基本工具。
除了其他人已經提到的調試器,為了跟進他們的活動,我建議使用
strace,sysdig或dtrace4linux. 它們是跟踪核心呼叫細節的絕佳工具。要跟踪在受損 I/O 中打開的所有文件,請執行:
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=openSnoop 文件在發生時打開(使用 sysdig)
從:
http://www.sysdig.org/wiki/sysdig-examples/
Sysdig 能夠顯示所有內容,包括正在寫入的文件的緩衝區或通過網路發送的數據。
不用說,您應該在執行這些命令之前備份和隔離伺服器。