DDoS Perl IrcBot v1.0分析复现与处置

最新推荐文章于 2024-08-29 00:24:15 发布
最新推荐文章于 2024-08-29 00:24:15 发布
阅读量2.7k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 样本分析 文章标签: 样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zouyuanxc/article/details/80116752
本文详细分析了DDoS Perl IrcBot v1.0,包括环境搭建、代码解析、运行复现和处置办法。后门通过IRC协议与受害主机交互,伪装成系统进程,造成服务器负载和网络异常。处置方法包括终止进程、删除后门脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DDoS Perl IrcBot v1.0分析复现与处置

前言
最近遇到一个基于PERL的IRC后门,通过IRC协议与victim交互,经过简单的分析,搭建环境复现后门的运行流程及深入分析它的原理及行为,最终目的是根据分析结果给出了后门一些处理办法,供大家学习和参考。

IRC
IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年的发展,目前世界上有超过60个国家提供了IRC的服务。IRC的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。所有用户可以在一个被称为\”Channel\”(频道)的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname(昵称)。

环境搭建

在分析之前,先把环境搭建好,方便后续的分析。

  • 系统:Ubuntu 16.04 x64
  • Irc服务器:inspircd
  • mIRC客户端

inspircd安装与配置

#更新软件包
sudo apt-get update
#安装inspircd
sudo apt-get install inspircd
#编辑配置文件
sudo vim /etc/inspircd/inspircd.conf

配置文件中需要修改的地方:

#配置server
<server name="irc.tester.com"
description="Local IRC Server"
Id="12b"                                  #添加ID ,参数形式为“两个数字和一个字母”
network="testIRC">

#配置bind地址
<bind address="0.0.0.0" port="6667" type="clients">

#配置系统关闭和重启(可选)
<power diepass="tester1" restartpass="tester2" pause="2">

#配置管理员
<oper name="root"
      password="123456"
      host=*@localhost,**@xxx.xxx.xx.xxx   #其中xxx.xxx.xxx.xx为你的服务器ip
      type="NetAdmin">

启动inspircd服务器

#启动服务器
sudo service inspircd start

启动之后使用netstat -antp命令查看6667端口是否对外开放(0.0.0.0),否则尝试重启

#重启服务器
sudo service inspircd restart

代码分析

样本下载:Ircbot

编辑器打开Perl样本,发现代码不足1000行,但是从它的注释中可以看出,它包含的功能还很多,打开代码从头到尾仔细分析一波,下面是它的运行流程图,很简单先看看。

简易流程图
1.变量申明,代码一开始申明了很多变量,虽然现在不知道要干嘛,暂且过眼记录一下。

#定义进程名数组
my @rps = ("/usr/local/apache/bin/httpd -DSSL",
                   "/usr/sbin/httpd -k start -DSSL",
           "/usr/sbin/httpd",
                   "/usr/sbin/sshd -i",
                   "/usr/sbin/sshd",
               "/usr/sbin/sshd -D",
           "/usr/sbin/apache2 -k start",
               "/sbin/syslogd",
               "/sbin/klogd -c 1 -x -x",
                   "/usr/sbin/acpid",
                   "/usr/sbin/cron");
#随机选择一个进程名 
my $process = $rps[rand scalar @rps]; 

#定义mIRC版本数组
my @rversion = ("\001VERSION - unknown command.\001",
                                "\001mIRC v5.91 K.Mardam-Bey\001",
                                "\001mIRC v6.2 Khaled Mardam-Bey\001",
                                "\001mIRC v6.03 Khaled Mardam-Bey\001",
                                "\001mIRC v6.14 Khaled Mardam-Bey\001",
                                "\001mIRC v6.15 Khaled Mardam-Bey\001",
                                "\001mIRC v6.16 Khaled Mardam-Bey\001",
                                "\001mIRC v6.17 Khaled Mardam-Bey\001",
                                "\001mIRC v6.21 Khaled Mardam-Bey\001",
                                "\001mIRC v6.31 Khaled Mardam-Bey\001",
                                "\001mIRC v7.15 Khaled Mardam-Bey\001");
#随机选择一个IRC版本号
my $vers = $rversion[rand scalar @rversion];

#定义一个较大的昵称数组
my @rircname = ("abbore","ably","abyss","acrima","aerodream","afkdemon","ainthere","alberto","alexia","alexndra",
                                "alias","alikki","alphaa","alterego","alvin","ambra","amed","andjela","andreas","anja",
                                "anjing","anna","apeq","arntz","arskaz","as","asmodizz","asssa","athanas","aulis",
                                "aus","bar","bast","bedem","beeth","bella","birillo","bizio","blackhand","blacky",
                                "blietta","blondenor","blueangel","bluebus","bluey","bobi","bopoh","borre","boy","bram",
                                "brigitta","brio","brrrweg","brujah","caprcorn","carloto","catgirl","cathren","cemanmp","chainess",
                                "chaingone","chck","chriz","cigs","cintat","clarissa","clbiz","clex","cobe","cocker",
                                "coke","colin","conan","condoom","coop","coopers","corvonero","countzero","cracker","cread",
                                "crnaruka","cruizer","cubalibre","cure","custodes","dan","dangelo","danic","daniela","dario",
                                "darker","darknz","davide","daw","demigd","des","devastor","diabolik","dimkam","dital",
                                "djtt","dogzzz","dolfi","dolphin","dottmorte","dracon","dragon","drtte","dumbblnd","dusica",
                                "ebe","edgie","eggist","einaimou","elef","elly","emmi","encer","engerim","erixon",
                                "eurotrash","fairsight","fin","fireaway","fjortisch",
最低0.47元/天 解锁文章
DDOS核弹攻击--Memcached放大攻击复现
__Curtain_
03-15 1万+
情景:当有一个Request过来后,Web服务器交给APP服务器,APP处理并从Database中存取相关数据,但Database存取的花费是相当高昂的。特别是每次都取相同的数据,等于是让数据库每次都在做高耗费的无用功。如果APP拿到第一次数据并存到内存里,下次读取时直接从内存里读取,而不用麻烦数据库,并且从内存取数据必然要比从数据库媒介取快很多倍,反而提升了应用程序的性能。Memcached应运...
Wireshark Wget bot木马分析
煮酒闲谈
09-27 1523
爬虫和蜘蛛 黑盒测试,它涉及到外部攻击者用于获取足够信息的所有步骤,以便入侵应用或服务器的特定功能。 作为每个 Web 渗透测试中侦查阶段的一部分,我们需要浏览器每个包含在网页中的链接,并跟踪它展示的每个文件。 有一些工具能够帮助我们自动和以及加速完成这个任务,它们叫做 Web 爬虫或蜘蛛。 这些工具通过跟随所有到外部文件的链接和引用,有的时候会填充表单并将它们发送到服务器,保存所有请求和响应来浏览
Perl写的DDOS源码
weixin_30460489的博客
08-30 179
#!usr/bin/perl #please dont edit this without including this. use IO::Socket::INET; print "Welcome to the Hyper Text Assault Script, or HTAS v1.0b"; while (!$ARGV[0]) { &usage; #change to usage su...
RPCBind反射DDOS攻击复现
weixin_68647219的博客
11-07 1657
原理发送虚假UDP请求,伪造源IP地址,将请求包中的源IP地址替换成攻击目标,反射服务器收到请求包发送响应来完成整个攻击流程。2.资产测绘在渗透测试过程中,如果发现111端口,基本就会存在该漏洞。
僵尸网络项目代码-DDOS攻击复现-研究报告
LDX的博客
09-19 4148
实践是检验真理的唯一标准,通过本文的两个项目,学者可以更好的体会僵尸网络,继而去研究如何进行有效的防护,并在本项目的基础上进一步的完善,笔者认为可以开发一个针对僵尸网络DDOS攻击的项目,并在本项目上进行实践,验证效果。本文的两个项目都是在本地模拟环境下实现的僵尸网络攻击,若要进行进一步的、更深入的去研究僵尸网络,笔者认为可以在两个项目的基础上进一步完善,扩展到局域网、互联网环境下的僵尸网络,同时僵尸主机也不要仅限于本地端口,可以利用一些简单的漏洞和病毒去操控真实的主机。
IRCBot:一个简单的 IRCBot 来收听和存储 irc 聊天
06-15
机器人 一个简单的 IRCBot 来收听和存储 irc 聊天
ArielBOT Perl IrcBOT-开源
05-01
"ArielBOT Perl IrcBOT-开源" 这个标题表明我们讨论的是一个基于Perl编程语言实现的 IRC(Internet Relay Chat)机器人,名为ArielBOT。IRC是一种实时通讯协议,常用于在线聊天和社区。"开源"标签说明ArielBOT的源...
PerlIRCSSL_VNCbypass:此代码是一个IRC BOT,可以使用SSL连接到IRC服务器。该机器人的主要目的是扫描OpenUnsecured VNC服务器。 该机器人还可以在该机器人正在运行的计算机中搜索信用卡信息(已在最新版本中删除,以优化编译过程时间)。 添加了SSH接管模块命令。还有一个用Python制造的DDoS模块,用于从网络中取出目标
02-05
PerlIRCSSL_VNCbypass 是一个使用Perl编程语言编写的IRC(Internet Relay Chat)机器人,其设计目的是通过SSL(Secure Socket Layer)协议安全地连接到IRC服务器。这个机器人具有多种功能,包括对开放且未受保护的...
IRCBot:为RPG游戏定制的Perl IRC聊天机器人
资源摘要信息:"IRCBot-IRCBOT-Randomizer-Chat-Bot-:供RPG使用的IRC机器人" ### 标题知识点 - IRCBot-IRCBOT-Randomizer-Chat-Bot:这是一个专门设计的用于角色扮演游戏(RPG)的IRC机器人,可以在IRC(Internet ...
602Gbps!史上最大DDoS攻击出现
weixin_34237596的博客
08-09 345
恭喜BBC,成为了史上最大DDoS攻击的对象,没有之一。 这次攻击发生在2015年的最后一天,BBC的网站应声瘫痪了好几个小时。但是当时他们没有想到自己竟然如此荣幸,承受了世界纪录级别的602Gbps的“惨烈攻击”。这个攻击强度完全碾压了去年由Arbor Networks创造的334Gbps的攻击纪录。(纳尼?还不知道什么是DDoS?来看...
ircbot:一个基本的 IRC 机器人,支持热代码重新加载,用 NodeJS 编写
07-18
骡子机器人 MuleBot 是一个用 NodeJS 编写的 IRC 机器人。 它支持插件的热代码重新加载,即对插件所做的任何更改都可以通过简单地重新加载插件立即应用 - 无需重新启动机器人。 安装 只需克隆存储库并在cfg文件夹中设置配置文件。 最重要的配置文件是options.js ,它包含要连接的 IRC 服务器的host和port 。 它还包含机器人应该连接的nick (以及可选的user和name ),以及机器人应该加入的channels列表。 在admins.js您可以指定您希望机器人将其视为admins的所有 IRC 用户的用户、主机和昵称信息。 管理员可以访问普通用户无权访问的某些插件和功能。 用法 配置好机器人后,只需运行node main.js 。 当机器人连接后,通过在其中一个频道中输入!ping来测试它是否工作。
DDoS脚本:用perl编写的ddos脚本,可自动检测开放和易受攻击的端口,最多提供1.5 GB的软件包
02-05
DDoS脚本:用perl编写的ddos脚本,可自动检测开放和易受攻击的端口,最多提供1.5 GB的软件包
IRCBot:我用 Python 编写的基本 IRC Bot
06-05
IRC机器人 这是我用 Python 编写的基本 IRC Bot。 它目前没有做太多事情,并且是一个 WIP。 未来的计划: 配置文件无需先关闭机器人即可更改设置SSL 支持Nickserv 和 Sasl 身份验证清理代码移植到 Python 3
ircBot:这是一个 IrcBot 我将用来学习更多 java
07-06
这是一个 IrcBot,我将用来学习更多 Java。 我仍然处于学习 Java 的起步阶段,我记得我年轻时喜欢编写小型 mIRC 机器人,所以我认为用 Java 编写 IrcBot 也很有趣。
IRCBot-开源
04-30
IRCBot是连接到IRC并响应命令的IRC机器人。
DOS和DDOS攻击原理及复现
A526847的博客
05-22 1101
于是,就安排自己的几个员工,假装过去就餐,排队点餐。等等),但就是不点餐,故意纠结来纠结去的,没折腾一小时以上,是不会罢休的。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击, 其中的攻击者可以有多个。这通常是通过阻止除SYN数据包之外的传出数据包的防火墙规则来实现的,或者在到达恶意用户机器之前过滤任何传入的SYN-ACK数据包。协议,实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
IRC BOT原来是利用IRC下发C&C命令——在xx云环境遇到了,恶意软件开的是6666端口...
djph26741的博客
07-17 300
Backdoor/IRC.RpcBot 本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧! Backdoor/IRC.RpcBot是一些批处理文件、脚本文件和执行文件的集合,也是一种黑客工具,这些文件的名称是可以变化的。 中文名Backdoor/IRC.RpcBot类别病毒威胁级别一星类型木马 目录 1...
Windows TCP/IP IPv6 DDos远程蓝屏复现及修复(CVE-2024-38063)
最新发布
Lucky小小吴的小屋
08-29 5624
最近,windows爆出重量级漏洞CVE-2024-38063),攻击者通过不断发送ipv6数据包,可实现远程DDOS导致目标windows直接蓝屏,或RCE。
IRC Bot - 可定制的聊天机器人
gitblog_00022的博客
03-18 461
IRC Bot - 可定制的聊天机器人 去发现同类优质开源项目:https://gitcode.com/ 是一个基于 Python 编写的可定制聊天机器人。它能够连接到 IRC(Internet Relay Chat)网络并频道中的其他用户进行交互。 项目用途 使用 IRC Bot,你可以创建自己的聊天机器人,并让它在指定的 IRC 频道中执行各种任务,如: 自动回答常见问题 提供天气预报、新...
Perlbot IRC机器人代码分析教程
### 标签:“bot irc perl ircbot PerlPerl” #### 知识点分析1. **机器人(Bot)标签**: 这表明该Perlbot IRC机器人是一个在IRC网络中运行的自动化程序,被设计来执行任务或人交互。 2. **IRC**: IRC标签...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值