查看: 2583|回复: 25

新的Linux后门隐藏通信协议

[复制链接]
发表于 2013-11-23 23:53:10 | 显示全部楼层 |阅读模式

日前,赛门铁克发布博客称,在五月的一次安全事件中,发现一名黑客入侵了一个大型物联网托管服务商,并且在内部管理系统上使用了一个有意思的Linux后门 – Fokirtor。

经过赛门铁克研究发现,该后门能够伪装它的通信流量,并伪装成正常的SSH通信流量。该后门支持攻击者运行常用的功能,如执行远程命令、反向链接到C&C服务器,Fokirtor能够监控SSH网络流量,如果检测到流量中存在冒号、感叹号、分号、句号(“:!;.”),一旦检测到流量存在这些字符,Fokirtor代码能够解析除这些字符之外的流量,然后提取经过Blowfish和Base64加密的命令。
当服务器感染该后门后,它从机器上收集以下信息:
1、主机名和IP地址
2、端口
3、密码
4、SSH密钥
5、用户名
收集之后对信息进行加密,并发送到攻击者的C&C服务器。
赛门铁克分析师表示,要识别网络中是否存在该后门,可以看流量中是否包含了感叹号字符,正常的SSH流量中是不会包含感叹号的。

发表于 2013-11-24 15:52:01 | 显示全部楼层
给我一个女人,我可以创造一个民族;给我一瓶酒,我可以带领他们征服全世界 。。。。。。。。。  
发表于 2013-11-25 12:16:43 | 显示全部楼层
做对的事情比把事情做对重要。  
发表于 2013-11-26 02:54:29 | 显示全部楼层
太棒了!  
发表于 2013-11-27 09:58:45 | 显示全部楼层
回个帖子支持一下!
发表于 2013-11-28 09:52:51 | 显示全部楼层
我的妈呀,爱死你了  
发表于 2013-11-28 20:15:14 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2013-11-29 11:10:31 | 显示全部楼层
谢谢分享了!  
发表于 2013-12-5 00:08:52 | 显示全部楼层
谢谢楼主啊!
发表于 2013-12-6 20:59:38 | 显示全部楼层
我想要`~  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则