拉進ida里面反編譯一下

函數名很清晰，看來是沒有去掉符號信息

進入checkhost()里面

也很清楚，選擇一個存活的域名作為baseurl,后面有用到來下載挖坑程序

進入checkzigw()函數

刪除同類的挖坑軟件，詳細說一下，先pkill zigw進程，改變zigw的屬性為可見可修改，使用rm -rf /etc/zigw刪除zigw

進入initfile()函數，這個函數比較重要，從服務器下載了挖坑程序并且執行，將自己復制為/tmp/initdz

如果沒有httpdz文件，就從服務器下載httpdz并且改屬性為777,可讀可寫可執行

下載挖坑migrations并改成屬性可執行

將rm程序改為rmm,并且替換為自己的程序

進入checkcrontab()

因該是設置定時啟動，沒有仔細分析。。。

竟然checkssh()

替換用戶的authorized_keys,用于黑客遠程ssh登陸

進入kill()函數

kill同類的挖礦軟件，挖礦只能我挖?
這個so文件用于DDos攻擊，殺了也好

進入checkservice()

創建挖礦服務

進入checkhost()

修改hosts文件，域名重定向到127.0.0.1使其他挖礦不能工作，挖礦只能我挖?

最后clean()

清除日志信息
history -c清除當前用戶的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 刪除終端歷史記錄

樣本下載：https://pan.baidu.com/s/1LCUl-CP0GSFNCRjvql2XxA

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的initdz linux挖坑病毒分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。