有安全方面大佬来看看这个恶意程序么？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› FreebuF.com

› Dashlane 密码管理器

这是一个创建于 2474 天前的主题，其中的信息可能已经有所发展或是发生改变。

一台外网服务器不幸被入侵，留下三个文件
[root@XXX ~]# md5sum pty
3bd292eea1201ffa19a428807376c6b2 pty

[root@XXX ~]# md5sum udevd
9012234fa320b3fd8f3c430929fdd699 udevd

[root@XXX ~]# md5sum vyattad
341869dfb1c51fbb2a59e77163cf83fd vyattad

和一个 crontab 任务
[root@XXX ~]# crontab -l

- - - - /root/pty > /dev/null 2>&1 &

google 一凡，知道这是个 SSH 相关病毒，但限于安全知识有限，有大佬遇到过这种问题或者有相关反汇编知识分析下咯。。
病毒文件可以从 http://malwareanalysis.tech/2017/01/brute-force-ssh-attack-from-ip-72-202-134-97-downloaded-trojan-linux-tsunami-from-ip-52-74-21-59/ 获得。

3 条回复 • 2018-02-05 15:51:23 +08:00

1

idcspy

2018-02-05 15:22:14 +08:00

ssh 爆破。

2

CEBBCAT

2018-02-05 15:42:02 +08:00

临时文件分享可以看一看这篇帖子： https://sspai.com/post/42833

里面提到的 SendAnywhere 可能适合你

3

jackyzy823

2018-02-05 15:51:23 +08:00

我觉得还是先研究一下外网服务器上的哪个服务有漏洞，有没有重要信息被那啥之类的比较好（

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 1025 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 22ms · UTC 22:04 · PVG 06:04 · LAX 14:04 · JFK 17:04
Developed with CodeLauncher
♥ Do have faith in what you're doing.