linux 木马源码,一款新型的Linux挖矿木马来袭

最新推荐文章于 2025-05-08 16:47:56 发布

转载

最新推荐文章于 2025-05-08 16:47:56 发布 · 1.4k 阅读

文章标签：

#linux 木马源码

gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==

事件描述

样本分析

1.对一系列矿池地址进行DNS查询请求，如下：

gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw== 相应的矿池地址列表如下：

pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.org

xmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.org

xmr-jp1.nanopool.org、xmr-au1.nanopool.org、xmr.crypto-pool.fr

fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com

pool.supportxmr.com、xmr-usa.dwarfpool.com、xmr-eu.dwarfpool.com

xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com

xmr.f2pool.com、xmr.pool.minergate.com、monerohash.com

pool.monero.hashvault.pro、gulf.moneroocean.stream

us-east.cryptonight-hub.miningpoolhub.com

europe.cryptonight-hub.miningpoolhub.com

asia.cryptonight-hub.miningpoolhub.com

2.通过chattr -i删除掉文件保护属性，重新感染主机系统，如下：

gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw== 3.通过进程/proc/[进程ID]/exe，获取文件的路径，如下：

gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw== 4.在内存中拼接字符串，如下所示：

gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw== 相应的命令行如下：

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

伦敦交易员

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

linux下木马程序病原体的制作和运行

weixin_40501323的博客

12-27

4959

1.木马的制作：首先我们可以在/usr/bin/目录下创建一个源程序muma，输入你所需要指定的代码，这里为了做实验就随便写了个，你也可以换上一些挖矿程序，ddos攻击代码，为了知道木马是否运行，我们可以加入一条指令echo 'date' >> /tmp/date.txt，这样如果木马程序运行，我们就可以在tmp/date.txt下看到内容date。sleep 1 是指这段代码多长时间执行一

linux中隐藏得木马程序,Linux远控分析

weixin_28938701的博客

05-01

1306

0x1 前言在国内，Linux操作系统以一般运用于服务器及相关后台，个人用户相对较少，因此Linux平台的木马病毒数量也远远不及Windows平台，其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点，就是不必与安全软件进行过多的对抗，因此导致其攻击手段的针对性极强，攻击面相当集中。以本文分析的样本为例，该样本为一远控木马，但不同于Windows下的远控...

参与评论您还未登录，请先登录后发表或查看评论

Linux开发——实战（三）后门木马程序

qq_25490573的博客

10-17

866

目录端口绑定命令： nc -lvp 6666 木马：控制台程序端口绑定命令： nc -lvp 6666 木马： #include "stdio.h" #include "string.h" #include "stdlib.h" #include "signal.h" #include "arpa/inet.h" #include "sys/types.h" #inclu...

Linux系统木马解决

最新发布

qq_45806499的博客

05-08

170

二进制程序逆向查看发现，其是通过sys_execve动态加载的恶意二进制程序或脚本。但执行的名称是动态的，逆向代码里涉及到文件和环境变量，不好查找。查看了所有的环境变量和二进制文件里的字符串信息，还是确定不了。命令去扫描后台隐藏进程，发现有隐藏进程，kill杀掉后htop的cpu占用就恢复正常了，但过一会仍会重新恢复成之前极高的cpu占用情况。在删除这个定时任务后就没有再发生cpu资源被大量占用的情况，于是把这个定时任务里执行的。里没有，到/etc/cron.d目录里查，在。此时确定电脑中木马了，使用。

挖矿木马简单分析

AlwaysBetter

07-27

2061

#!/bin/sh #更改当前进程最大打开文件数为65535 ulimit -n 65535 #删除linux下系统关键日志信息 rm -rf /var/log/syslog #给chattr最高权限 chattr (chattr可以修改文件隐藏属性,如不可删除) chmod 777 /usr/bin/chattr chmod 777 /bin/chattr # -iua i:只许修改,不允许建立和删除 u删除文件会保存,以后可以恢复 a只允许建立和修改,不允许删除 # -iua 和 + 相反去除文件

linux core病毒挖矿病毒定时器(源码)

纳川的博客

05-10

627

#!/bin/sh /bin/ps axf -o "pid %cpu" | awk '{if($2>=90.0) print $1}' | while read procid do kill -9 $procid done zero=0 process=`ps aux | grep 'HbewXurEWNdeWNtj' | grep -v grep| wc -l` if [ "$process" -eq "$zero" ]; then if [ -f /tmp/core ] then /tm

Linux 服务器挖矿木马防护实战：快速切断、清理与加固20250114

Narutolxy的博客

01-14

1064

详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案，助力运维人员提升应急处置能力。

通过linux 木马控制Linux

06-13

通过上述步骤，我们成功地生成了一个Linux ELF木马，并利用该木马实现了对目标系统的远程控制。虽然这个过程主要是用于渗透测试和安全评估的目的，但重要的是要注意不要将其用于非法活动。理解和掌握这些技术有助于...

记一次入侵Linux服务器和删除木马程序的经历

01-10

我们的服务器为了最好性能，防火墙（iptables）什么的都没有开启，但是服务器前面有物理防火墙，而且机器都是做的端口映射，也不是常见的端口，按理来说应该是满安全的，可能最近和木马有缘吧，老是让我遇到，也趁...

libgcc-a挖矿木马清除脚本

05-19

用于清楚Xmrig木马变种libgcc_a

Py区块链源码笔记（1）挖矿

本然233的博客

03-24

2977

昨晚听大佬小课堂，给我普及一晚上区块链相关各种知识，深深感觉到自己宛如一个智障，我不配说自己是学计算机的啊…… 膜拜之余，转载大佬的文章，像大佬学习！文章出处：Py区块链源码笔记（1）挖矿也欢迎看到人的去访问他博客~~~ Py区块链源码笔记（1）挖矿怎么学习区块链知识呢? 各种的资料看的头大，还是晕晕乎乎。所以那不如自己实现一个吧？？说是自己实现，实际上想先对源码进行解...

supportxmr-gui:轻量级且快速的UI，用于基于nodejs-pool的项目，最初是为supportxmr.com设计的

05-26

supportxmr-gui是用于的轻量级，低资源池UI（）。它是基于javascript的，并且自包含在4个文件和favicon中。缩小后，总磁盘大小为76KB，没有外部依赖性。页面加载性能规格（单个工作人员）： supportxmr-gui 旧的前端 2.5 KB HTML 10 KB 3/72 KB 静态文件 48 / 6,031 KB 7 资料查询 14 102 KB 资源总计 6,031 KB .5秒页面加载（不带CDN） 5秒兼容性supportxmr-gui需要ECMAScript 5（Chrome 23，Firefox 21，IE 10，Safari 6，Opera 15）。从理论上讲IE9可以工作，但是Microsoft浏览器已经占用了我很多时间。高安全性模式下的Tor阻止了svg元素，并且此UI完全基于svg。 Tor的其他安全

python挖矿木马_kworkerds 挖矿木马简单分析及清理

weixin_39952800的博客

12-06

782

公司之前的开发和测试环境是在腾讯云上，部分服务器中过一次挖矿木马 kworkerds，本文为我当时分析和清理木马的记录，希望能对大家有所帮助。现象top 命令查看，显示 CPU 占用 100%，进程名无明显规则，如：TzBeq3AM。进程有时候会被隐藏，通过分析脚本删除部分依赖文件，可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务，每半小时左右会从 pastebi...

C语言 linux 木马,C语言写病毒，木马

weixin_33826994的博客

05-12

588

以前在网吧花了大投资的游戏账号被心痛的盗过一次，于是到了大学就傻逼傻逼的想写病毒，木马，出出风头，然后到处到处搜索，相关方法，以为这样就能写出病毒木马。一直持续到前段日子，偶尔看到一本关于杀毒软件是怎么查杀木马的资料，才知晓自己当时的做法是多么的愚蠢，当时想到的一些方法，很多年前都被人想到了。看到的资料是也是前几年的。你说防病毒的书都不看还怎么写病毒。目前还是老实的学习吧，计算机是一门发展飞速的...

常见的挖矿木马

Liu_Bruce的博客

09-25

1023

WannaMine主要针对搭建WebLogic的服务器，也攻击PHPMyadmin、Drupal等Web应用。WannaMine将染毒机器用“无文件”攻击方法构建一个健壮的僵尸网络，并且支持内网自更新。WannaMine通过WMI类属性存储shell code，并使用**“永恒之蓝”漏洞“Mimikatz+WMIExec”攻击组件**，在同一局域网进行横向渗透，以隐藏其恶意行为。2018年6月，WannaMine增加了DDoS模块，改变了以往的代码风格和攻击手法。

处理服务器挖矿木马

weialemon

01-10

4787

挖矿木马潜伏在服务器上，可能每一个木马名称都不一样，但是大致基本一样。由于我之前处理时候并没有保留图片，所以此文章依据别的文章所做整理。杀wnTKYg病毒分两步，第一是找到它的来源，切断入口，第二步，找到它的守护进程并杀死，然后再去杀死病毒进程，有的守护进程很隐蔽，唤醒病毒之后，自动消亡，这时候top就看不到了，要留心。类似于这样，cpu达到百分之百了，这样的进程杀都杀不掉

C++最经典挖矿工代码，（高仿），完美复原原游戏，好玩到停不下来

yaosichengalpha的博客

04-03

1427

C++最经典挖矿工代码，（高仿），完美复原原游戏，好玩到停不下来

利用 Confluence 漏洞的挖矿木马

Nikkis的博客

02-08

587

利用 Confluence 漏洞的挖矿木马

针对挖矿木马的一些基本认识

Macro2的博客

04-26

3222

区块链什么是挖矿为啥要挖矿什么是矿池什么是挖矿钱包怎么挖矿怎么发现和预防区块链区块链是一种分布式的数据库，区块链中每一个区块可以用来记录多笔交易数据（如比特币的交易数据，A->B转账1个bit币），多个区块以链条式的方式串联在一起，就可以称为区块链。比特币就是利用区块链技术来实现去中心化。相当于你下载比特币客...

MacOS/Linux蠕虫木马源码曝光，使用REALBasic编写

该资源信息表明存在一个名为“osx.raedbot.rar”的压缩包文件，其内含一个跨平台的蠕虫-木马程序，它能够在Windows、Linux和Mac OS三种操作系统上运行。该恶意程序使用REALBasic这一编程语言编写的源代码，并伴随着...

linux 木马 源码,一款新型的Linux挖矿木马来袭

linux 木马源码,一款新型的Linux挖矿木马来袭