拉進ida里面反編譯一下

函數(shù)名很清晰，看來是沒有去掉符號信息

進入checkhost()里面

也很清楚，選擇一個存活的域名作為baseurl,后面有用到來下載挖坑程序

進入checkzigw()函數(shù)

刪除同類的挖坑軟件，詳細說一下，先pkill zigw進程，改變zigw的屬性為可見可修改，使用rm -rf /etc/zigw刪除zigw

進入initfile()函數(shù)，這個函數(shù)比較重要，從服務(wù)器下載了挖坑程序并且執(zhí)行，將自己復(fù)制為/tmp/initdz

如果沒有httpdz文件，就從服務(wù)器下載httpdz并且改屬性為777,可讀可寫可執(zhí)行

下載挖坑migrations并改成屬性可執(zhí)行

將rm程序改為rmm,并且替換為自己的程序

進入checkcrontab()

因該是設(shè)置定時啟動，沒有仔細分析。。。

竟然checkssh()

替換用戶的authorized_keys,用于黑客遠程ssh登陸

進入kill()函數(shù)

kill同類的挖礦軟件，挖礦只能我挖?
這個so文件用于DDos攻擊，殺了也好

進入checkservice()

創(chuàng)建挖礦服務(wù)

進入checkhost()

修改hosts文件，域名重定向到127.0.0.1使其他挖礦不能工作，挖礦只能我挖?

最后clean()

清除日志信息
history -c清除當前用戶的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 刪除終端歷史記錄

樣本下載：https://pan.baidu.com/s/1LCUl-CP0GSFNCRjvql2XxA

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的initdz linux挖坑病毒分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。