综合征这样了，还有救吗？求治疗方案（linux版综合征）

pixiuwan

再也不用电脑，然后就好了

fzshot

水冗日 发表于 2014-7-3 23:11
每个贴子里都能见到大蜘蛛的推广……
Linux不需要装杀软！

Linux 也是需要装杀软的

来源: http://news.drweb.cn/show/?i=230&lng=cn&c=5

Linux.BackDoor.Gates.5——又一针对Linux的木马

2014.06.25

某些用户有一种根深蒂固的观念，就是目前没有能够真正威胁Linux内核操作系统的恶意软件，然而这种观念正在面临越来越多的挑战。与4月相比，2014年5月Doctor Web公司的技术人员侦测到的Linux恶意软件数量创下了新纪录，六月份这些恶意软件名单中又增加了一系列新的Linux木马，这一新木马家族被命名为Linux.BackDoor.Gates。

在这里描述的是恶意软件家族Linux.BackDoor.Gates中的一个木马：Linux.BackDoor.Gates.5，此恶意软件结合了传统后门程序和DDoS攻击木马的功能，用于感染32位Linux版本，根据其特征可以断定，是与Linux.DnsAmp和Linux.DDoS家族木马同出于一个病毒编写者之手。新木马由两个功能模块构成：基本模块是能够执行不法分子所发指令的后门程序，第二个模块在安装过程中保存到硬盘，用于进行DDoS攻击。Linux.BackDoor.Gates.5在运行过程中收集并向不法分子转发受感染电脑的以下信息：

    CPU核数（从/proc/cpuinfo读取）。
    CPU速度（从/proc/cpuinfo读取）。
    CPU使用（从/proc/stat读取）。
    Gate'a的 IP（从/proc/net/route读取）。
    Gate'a的MAC地址（从/proc/net/arp读取）。
    网络接口信息（从/proc/net/dev读取）。
    网络设备的MAC地址。
    内存（使用/proc/meminfo中的MemTotal参数）。
    发送和接收的数据量（从/proc/net/dev读取）。
    操作系统名称和版本（通过调用uname命令）。

启动后，Linux.BackDoor.Gates.5会检查其启动文件夹的路径，根据检查得到的结果实现四种行为模式。

如果后门程序的可执行文件的路径与netstat、lsof、ps工具的路径不一致，木马会伪装成守护程序在系统中启动，然后进行初始化，在初始化过程中解压配置文件。配置文件包含木马运行所必须的各种数据，如管理服务器IP地址和端口、后门程序安装参数等。

根据配置文件中的g_iGatsIsFx参数值，木马或主动连接管理服务器，或等待连接：成功安装后，后门程序会检测与其连接的站点的IP地址，之后将站点作为命令服务器。

木马在安装过程中检查文件/tmp/moni.lock，如果该文件不为空，则读取其中的数据（PID进程）并“干掉”该ID进程。然后Linux.BackDoor.Gates.5会检查系统中是否启动了DDoS模块和后门程序自有进程（如果已启动，这些进程同样会被“干掉”）。如果配置文件中设置有专门的标志g_iIsService，木马通过在文件/etc/init.d/中写入命令行#!/bin/bash\n<path_to_backdoor>将自己设为自启动，然后Linux.BackDoor.Gates.5创建下列符号链接：

ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

如果在配置文件中设置有标志g_bDoBackdoor，木马同样会试图打开/root/.profile文件，检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段，Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本，命名为配置文件中设置的相应名称，并取代下列工具：

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

木马以此完成安装，并开始调用基本功能。

执行另外两种算法时木马同样会伪装成守护进程在被感染电脑启动，检查其组件是否通过读取相应的.lock文件启动（如果未启动，则启动组件），但在保存文件和注册自启动时使用不同的名称。

与命令服务器设置连接后，Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。按照不法分子的指令，木马能够实现自动更新，对指定IP地址和端口的远程站点发起或停止DDoS攻击，执行配置数据所包含的命令或通过与指定IP地址的远程站点建立连接来执行其他命令。

此后门程序的主要DDoS攻击目标是中国的服务器，然而不法分子攻击对象也包括其他国家。下图为利用此木马进行的DDoS攻击的地理分布：



此恶意软件已添加到Dr.Web病毒库，因此不会对我公司反病毒软件产品用户构成威胁。

cpcpcpy

赶紧学会linux的命令，然后把图形界面删掉

萧勍

Linux不需要杀软，首先是因为Linux是开源的，几乎没有病毒，其次Linux的权限管理很严格，很多涉及底层的操作都要root权限，很难中毒

♂触碰※灵魂㊣

用上了 linux 你会不会想着去换各种发行版本呢

尘梦幽然

可怕！............

Opera~

虚拟机闹哪样。。。。晕-_-||楼主放假太闲了吧删除unity换成纯纯的shell界面不解释

foraolita

换国产那个960吧，听说很安全。

Opera~

foraolita 发表于 2014-7-4 08:27
换国产那个960吧，听说很安全。

有linux版？960是啥

foraolita

Opera~ 发表于 2014-7-4 08:30
有linux版？960是啥

这个是玩笑话。
http://960.coship.com/960os.html