不久前收到的一个linux样本,之前linux平台下的样本见得并不多,正好做个记录。

样本启动之后,会将自身重命名拷贝到/usr/bin下,并删除自身,如此处就将自身文件amdhzbenfi命名为usnfpnglab。

运行中的样本进程。

/bin目录下的样本文件

该样本在运行的开始会通过fork进行一定的反调试,具体步骤是fork出一个子进程,然后父进程退出,子进程继续运行。从而导致gdb附加上之后无法调试运行,因为此时gdb的目标是父进程,所有运行之后会报错,此处可以通过gdb中的命令解决(只试用与gdb6.0以上哦)。

set follow-fork-mode child

该命令运行之后告知gdb会跟进fork子进程,但是需要注意的是,样本中用不少地方调用了类似system()这样的函数,如果此时该设置依然存在的话,gdb就会跑飞,所以此时可以通过以下两条命令来将这个设置关闭。

set follow-fork-mode parent

set detach-on-fork [on|off]

首先调用函数encrypt_code解密服务端对应的指令号。

解密算法为简单的一系列异或操作。

如下图为其中解密出的一系列指令的对应号。

之后调用addsernvice函数将自身添加为linux系统的自启动程序。

实际的添加操作。

之后会调用函数decrypt_remotestr,该函数会解密本地一段加密存储的数据,该数据包含了第一次与远端通信时的远端机器的信息,解密方法与指令解密一致。

解密之后的服务器信息,此处的服务器信息为第一次认证的远程机,之后的主控机使用的是另一个ip地址。

最后,开启监听,与远端162.212.182.116主机进行通信。

建立连接之后,会首先获取肉鸡的信息,如cpu等。

随后接受服务器的返回包,通过函数exec_packet执行返回包中来自主控机的命令。

在exec_packet中解析返回包的数据,执行相应的ddos攻击操作,规则如下:

5:syn,10:ack,4:dns

发送的http攻击包。

最后将自身分别拷贝到/usr/bin,/bin,/tmp三个目录下,并删除自身。

一个linux的样本分析的更多相关文章

  1. linux xorddos样本分析2

    逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.

  2. linux xorddos样本分析1

    样本行为 该样本为国庆期间接到的一个应急,发现为今年比较流行的xorddos,遂分析一番. 运行之后,查看进程,可以发现可疑进程ydxrooqtno,以及ppkzkneour. 多次运行发现除了ydx ...

  3. 一个 Linux 上分析死锁的简单方法

    简介 死锁 (deallocks): 是指两个或两个以上的进程(线程)在执行过程中,因争夺资源而造成的一种互相等待的现象,若无外力作用,它们都将无法推进下去.此时称系统处于死锁状态或系统产生了死锁,这 ...

  4. 【转】一个 Linux 上分析死锁的简单方法

    简介 死锁 (deallocks): 是指两个或两个以上的进程(线程)在执行过程中,因争夺资源而造成的一种互相等待的现象,若无外力作用,它们都将无法推进下去.此时称系统处于死锁状态或系统产生了死锁,这 ...

  5. 一个LINUX狂人的语录(个人认为很精辟)

    http://blog.chinaunix.net/uid-57160-id-2734431.html?page=2 我已经半年没有使用 Windows 的方式工作了.Linux 高效的完成了我所有的 ...

  6. 【转】Linux Writeback机制分析

    1. bdi是什么? bdi,即是backing device info的缩写,顾名思义它描述备用存储设备相关描述信息,这在内核代码里用一个结构体backing_dev_info来表示. bdi,备用 ...

  7. linux源码分析2

    linux源码分析 这里使用的linux版本是4.8,x86体系. 这篇是 http://home.ustc.edu.cn/~boj/courses/linux_kernel/1_boot.html  ...

  8. Linux网络地址转换分析

    Linux网络地址转换分析 地址转换用来改变源/目的端口,是netfilter的一部分,也是通过hook点上注册相应的结构来工作. Nat注册的hook点和conntrack相同,只是优先级不同,数据 ...

  9. linux串口驱动分析

    linux串口驱动分析 硬件资源及描写叙述 s3c2440A 通用异步接收器和发送器(UART)提供了三个独立的异步串行 I/O(SIO)port,每一个port都能够在中断模式或 DMA 模式下操作 ...

随机推荐

  1. 【Android】如何将eclipse工程导入studio

    1.eclipse工程右键->export->Generate Gradle build files 2.studio->New->import project->选择工 ...

  2. 【linux】学习6

    鸟哥13章的东西 shell script速度较慢,适合用于系统管理,但不适合处理大量数值运算 var=$((运算内容)) 可以用来做变量的加减乘除求余运算 total=$(($firstnum*$s ...

  3. 【linux】linux下运行java程序

    参考了http://www.cnblogs.com/howard-queen/archive/2012/01/30/2331795.html 第一步:用vim先写一个java程序  first.jav ...

  4. JS调用自定义弹窗【bootstrap】

    function commonConfirm(msg,call){ showConfirmBox("消息提示",msg,call); } $(document).on('click ...

  5. Javascript题库

    一.填空题 JavaScript有两种引用数据类型 :__数组___.__对象__. Javascript通过__setTimeout___延迟指定时间后,去执行某程序. Javascript里Str ...

  6. osgconv 批量转换

    @echo offfor /f "delims=" %%i in ('dir/b *.osg') do ( "osgconv.exe" "%%~ni. ...

  7. 常用js函数整理--common.js

    var h = {}; h.get = function (url, data, ok, error) { $.ajax({ url: url, data: data, dataType: 'json ...

  8. vector的erase的用法

    vector<string>::iterator it = v.erase(v.begin() + 3, v.begin() + 6); 可以直接从begin进行加减,比如我们要移除第3个 ...

  9. Linux 中文乱码问题解决

    本文转载自:http://linux-wiki.cn/wiki/zh-hans/Java%E7%A8%8B%E5%BA%8F%E4%B8%AD%E6%96%87%E5%AD%97%E4%BD%93%E ...

  10. linux eclipse3.6.1 maven安装

    linux maven安装及 eclipse maven插件安装,有需要的朋友可以参考下. 1. maven的安装(apache-maven-3.0.5为例):  a.官网地址:http://mave ...