什么是后门病毒?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了什么是后门病毒?相关的知识,希望对你有一定的参考价值。
参考技术A 指的是IRC后门病毒,IRC全名为Internet Relay Chat,是一款即时聊天工具,类似网络聊天室,但功能更强大。IRC客户端与服务端通信采用的端口和相应协议是公开的,现在网上有很多IRC客户端软件,各有特色。同时,也正是由于协议的公开,给了病毒可乘之机。2004年年初,互连网开始大规模出现IRC后门病毒,全球的电脑都被笼罩在一个由IRC后门织成的网中,各家杀毒软件公司对此类病毒极为关注。IRC病毒可以使用户机器里的信息完全暴露给黑客,直接造成用户损失。同时,IRC病毒和蠕虫一样通过网络自动传播,占用大量网络资源,很容易阻塞局域网,给很多公司的正常业务带来较大影响。并且,许多IRC病毒的源代码是公开的,一个初学者拿到代码后只需少量改动即可编译出一个新的病毒,再给病毒加上不同的壳,造成IRC后门病毒变种不断涌现,瑞星公司几乎每天都能截获10个以上IRC病毒变种。通常,杀毒软件厂商将这些病毒命名为bot,根据一些特性的不同加上不同的前缀,如:Agobot,Rbot,Sdbot,Wootbot等。下面我们以最常见的瑞波病毒(Rbot)为例介绍IRC病毒。
Rbot运行后一般最少开启两个线程:
线程一负责登陆IRC服务器,与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题,他会聪明的回答你,不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后,它等待其他聊天者向它提出问题,其实别人向Rbot提出的问题就是病毒将要执行的指令。比如:请把机器IP告诉我,结果Rbot就获取本地IP,发送到聊天室,从而暴露了用户的信息。同理,黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号,还可以上传、下载、执行文件,甚至向某台机器发起DoS(拒绝服务)攻击…… 造成的后果与一般后门无异,但是操纵的形式非常特殊,想抓到幕后元凶也非常困难。
线程二负责传播自己。根据配置情况的不同,Rbot病毒体内一般都有弱口令字典,里面是待匹配的密码,一些常用的密码如Administrator,123,123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源,如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此,一定要给本机帐户设置足够安全的密码(大小写字母、数字以及特殊符号混合)。
不同IRC后门病毒之间也是存在一些差别的。比如高波(Agobot)病毒具有和冲击波(Worm.Blaster)病毒相同的传播方式,即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效,甚至可能导致操作系统60秒倒计时自动重新启动计算机,给用户工作带来不便。
参考资料:http://it.rising.com.cn/newsite/channels/anti_virus/Antivirus_Base/Virus_Common/200502/01-163318326.htm
参考技术B 后门病毒的前缀是:Backdoor。该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。 参考技术C 黑客用来进入你系统电脑,一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失从2004年初开始在全球网络大规模出现
最常见的:backdoor 参考技术D 后门病毒
后门病毒的前缀是:Backdoor。该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如的IRC后门Backdoor.IRCBot.
应急响应 Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)
💛思念攒够了💚,💛我们见一面吧💚
🍪目录:
🌹🌹一般能不能破解勒索病毒的解密,就取决于勒索病毒的强度!(免费版.)
🌹🌹如果破解不了,可能还是花钱找专业的人来破解!(付费版.)
🌲应急响应的概括:
🌾🌾🌾应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.
🌾🌾🌾网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
🌲应急响应阶段:
保护阶段:断网,备份重要文件(防止攻击者,这些期间删除文件重要文件.)
分析阶段:分析攻击行为,找出相应的漏洞.
复现阶段:复现攻击者攻击的过程,有利于了解当前环境的安全问题和安全检测.
修复阶段:对相应的漏洞提出修复.
建议阶段:对漏洞和安全问题提出合理解决方案.
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案.
🌲操作系统(windows 和 linux)应急响应:
(1)常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕 虫,勒索等)
(2)常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题.
🌲常见日志类别及存储:
(1)Windows系统:(2)Linux系统:
🌲工具下载 链接:https://pan.baidu.com/s/1N67KmETtTmMOSrG-l0-iDA
提取码:tian
🌲应急响应 Windows和Linux操作系统步骤:
🌷系统日志分析 :
安装 LogFusion 工具.(Windows系统日志)
打开日志:点击 Open Other -->> Open Event Log -->> 应用程序 || 系统
(1)应用程序事件日志.
(2)系统事件日志.
Linux系统日志.
/var/log/ //日志的位置.
(1)统计了下日志,确认服务器遭受多少次暴力破解.
grep -o "Failed password" /var/log/secure|uniq -c
(2)输出登录爆破的第一行和最后一行,确认爆破时间范围.
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
(3)进一步定位有哪些 IP 在爆破.
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
(4)爆破用户名字典都有哪些.
grep "Failed password" /var/log/secure|perl -e 'while($_=<>) /for(.*?) from/; print "$1\\n";'|uniq -c|sort -nr
(5)登录成功的日期、用户名、IP.
grep "Accepted " /var/log/secure | awk 'print $1,$2,$3,$9,$11'
grep "Accepted " /var/log/secure | awk 'print $11' | sort | uniq -c | sort -nr | more
🌷查找 后门木马:
查看进程(PCHunter)
Windows查杀木马:
大家可以下载一些安全软件进行扫描和查杀.
火绒安全软件:火绒安全
电脑管家:一键杀毒_盗号保护_垃圾清理_软件管理-腾讯电脑管家官网
Linux主机排查:
cd GScan-master //下载工具,然后切换工具目录.
python GScan.py --sug --pro //检测木马
Linux查杀木马.(Clamav)
apt update
apt install clamav-daemon -y //下载clamav杀毒.
freshclam //更新病毒库
clamscan -r -i /root -l /root/clamav.log //-r扫描目录,-i只显示被感染的文件,-l是保存的日志文件.
🌷处理 勒索病毒.
勒索病毒分析:深信服EDR
勒索软件在线下载的解密工具:免费勒索软件解密工具 | 解锁您的文件 | Avast
收集的勒索软件解密工具:
🌹🌹一般能不能破解勒索病毒的解密,就取决于勒索病毒的强度!(免费版.)
🌹🌹如果破解不了,可能还是花钱找专业的人来破解!(付费版.)
学习链接:2021小迪渗透测试/网络安全工程师全套(从入门到就业)_哔哩哔哩_bilibili
CSDN 社区图书馆,开张营业! 深读计划,写书评领图书福利~以上是关于什么是后门病毒?的主要内容,如果未能解决你的问题,请参考以下文章
为啥老是有win32.troj.undef这个病毒?????
集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件厉害了