initdz linux挖坑病毒分析

拉进ida里面反编译一下

函数名很清晰，看来是没有去掉符号信息

进入checkhost()里面

也很清楚，选择一个存活的域名作为baseurl,后面有用到来下载挖坑程序

进入checkzigw()函数

删除同类的挖坑软件，详细说一下，先pkill zigw进程，改变zigw的属性为可见可修改，使用rm -rf /etc/zigw删除zigw

进入initfile()函数，这个函数比较重要，从服务器下载了挖坑程序并且执行，将自己复制为/tmp/initdz

如果没有httpdz文件，就从服务器下载httpdz并且改属性为777,可读可写可执行

下载挖坑migrations并改成属性可执行

将rm程序改为rmm,并且替换为自己的程序

进入checkcrontab()

因该是设置定时启动，没有仔细分析。。。

竟然checkssh()

替换用户的authorized_keys,用于黑客远程ssh登陆

进入kill()函数

kill同类的挖矿软件，挖矿只能我挖
这个so文件用于DDos攻击，杀了也好

进入checkservice()

创建挖矿服务

进入checkhost()

修改hosts文件，域名重定向到127.0.0.1使其他挖矿不能工作，挖矿只能我挖

最后clean()

清除日志信息
history -c清除当前用户的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 删除终端历史记录

样本下载：https://pan.baidu.com/s/1LCUl-CP0GSFNCRjvql2XxA