V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
goodxxx
V2EX  ›  Linux

vps 被黑,运行两个文件,谁帮忙分析下?

  •  
  •   goodxxx · 2014-08-26 22:46:34 +08:00 · 3183 次点击
    这是一个创建于 3742 天前的主题,其中的信息可能已经有所发展或是发生改变。
    vps还有一个月就停止服务了,然后最近几天就重装系统,没有使用密钥登录。所以这台机器被“黑客”登录了,在机器上运行有两个elf程序,如果大家能够分析这两个文件行为可以下载文件进行分析。建议在虚拟机上进行分析。我也对这两个文件进行了在线分析:可以看链接:
    ymso文件查询结果:
    https://www.virustotal.com/en/file/e27571a89dfbb256bdf2aa7ff0a062bd10bd712c46d7ddc045a8ac85c4903c2f/analysis/

    TSmww文件查询结果:
    https://www.virustotal.com/en/file/7ca18f4cb8ffd9b10355c30a84481afe9d4d167f3576dcd263ceb1247f787399/analysis/1409053300/



    两个病毒文件地址 https://cloudup.com/cfk3GBhysbx
    3 条回复    2014-09-04 08:45:32 +08:00
    goodxxx
        1
    goodxxx  
    OP
       2014-08-26 22:52:30 +08:00
    vps上的日志: http://pastebin.com/pbD88JG5
    由于执行last命令,没有可以ip(估计被删了)
    millken
        2
    millken  
       2014-09-03 22:10:07 +08:00   ❤️ 1
    下载下来看了下,一个国产的ddos+backdoor,网上有老外分析了。

    http://blog.malwaremustdie.org/2014/05/linux-reversing-is-fun-toying-with-elf.html
    goodxxx
        3
    goodxxx  
    OP
       2014-09-04 08:45:32 +08:00
    @millken 谢谢😄
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1160 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 18:35 · PVG 02:35 · LAX 10:35 · JFK 13:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.