文献类型：期刊文章

作　　者：郑先伟[1]

机构地区：[1]中国教育和科研计算机网应急响应组

出　　处：《中国教育网络》

年　　份：2018

卷　　号：0

期　　号：12

起止页码：58-58

语　　种：中文

收录情况：普通刊

摘　　要：11月教育网运行平稳,未发现影响严重的安全事件。11月网站类的安全事件有增加趋势。近期俄罗斯的反病毒软件厂商Dr.Web发现了一种新型的Linux系统木马,区别于一般的木马,这款新的木马功能极其复杂,木马的主体是一个包含一千多行代码的巨型shell脚本。一旦该脚本在系统上被执行后就会迅速找寻系统上有读写权限的目录,然后把自身复制到该目录并通过网络下载其他功能模块,如果发现自身权限较低,木马还会利用系统上存在的权限提升漏洞来获得系统最高权限。完成感染后木马会清除系统上所有对自身有害的杀毒程序进程、将自己添加到系统的各项启动任务中并使用rootkit替换系统关键进程,以保证自己能在系统中长期贮存并不被发现。值得注意的是该木马会收集受控主机SSH协议有关的所有信息,包括联人该主机和从该主机连出的SSH通讯的IP和用户名及密码,并利用掌握的密码去尝试连接其他主机,以达到传播自身的目的。

关 键 词：LINUX系统 木马  SHELL脚本 ROOTKIT SSH协议 读写权限 安全事件  软件厂商

分 类 号：TP316.81]