vps 被黑,运行两个文件,谁帮忙分析下?

2014-08-26 22:46:34 +08:00
 goodxxx
vps还有一个月就停止服务了,然后最近几天就重装系统,没有使用密钥登录。所以这台机器被“黑客”登录了,在机器上运行有两个elf程序,如果大家能够分析这两个文件行为可以下载文件进行分析。建议在虚拟机上进行分析。我也对这两个文件进行了在线分析:可以看链接:
ymso文件查询结果:
https://www.virustotal.com/en/file/e27571a89dfbb256bdf2aa7ff0a062bd10bd712c46d7ddc045a8ac85c4903c2f/analysis/

TSmww文件查询结果:
https://www.virustotal.com/en/file/7ca18f4cb8ffd9b10355c30a84481afe9d4d167f3576dcd263ceb1247f787399/analysis/1409053300/



两个病毒文件地址 https://cloudup.com/cfk3GBhysbx
3031 次点击
所在节点    Linux
3 条回复
goodxxx
2014-08-26 22:52:30 +08:00
vps上的日志: http://pastebin.com/pbD88JG5
由于执行last命令,没有可以ip(估计被删了)
millken
2014-09-03 22:10:07 +08:00
下载下来看了下,一个国产的ddos+backdoor,网上有老外分析了。

http://blog.malwaremustdie.org/2014/05/linux-reversing-is-fun-toying-with-elf.html
goodxxx
2014-09-04 08:45:32 +08:00
@millken 谢谢😄

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/130061

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX