【蜜罐捕获】Linux蜜罐系统捕获的10个DDoS病毒和1个挖矿病毒

admin

IOC：
107.175.219.81
47.102.46.148
112.30.129.171
py.loliwaf.com
125.88.144.83
198.148.106.57
27.50.159.126
107.160.240.136
218.93.208.210
118.193.156.79
203.69.243.225
122.114.77.190
112.3.28.155
51.38.200.187
132.232.61.21

---

此次捕捉行动在一天内（24个小时）完成，入侵方式全部为SSH爆破入侵，也就意味了SSH爆破入侵进入高发期，为了您的服务器安全，请勿使用简单的密码，防止被入侵！

---

I.挖矿病毒
病毒文件名：Linux233
病毒网站下载URL：http://py.loliwaf.com/bbr/Linux233


C&C服务器：27.50.159.126 端口：48080

反侦察手段：根据服务器核心数智能选择用来挖矿的CPU核心数量。

比如蜜罐系统是2核CPU的，那么它就只用一个CPU来挖矿，通过“top”指令虽然能看到占用达到100%，但是Cpu(s)使用率却只有15.7%

如果不通过仔细观察，而且因为感觉不到服务器卡顿，所以普通服务器根本无法觉察到已被入侵挖矿。

---

II.DDoS病毒 No.1
病毒文件名：Linux2.6
病毒网站下载URL：http://47.102.46.148:8080/


C&C服务器：47.102.46.148 端口：48080

上层服务器抓包内容如下图

用处：发动DDoS攻击，对互联网破坏巨大。

---

III.DDoS病毒 No.2
病毒文件名：Jetwork.6
病毒网站下载URL：http://112.30.129.171:2014/


C&C服务器：107.160.240.136 端口：48080
目前已知黑客姓名：彭勇

用处：发动DDoS攻击，对互联网破坏巨大。

---

IV.DDoS病毒 No.3
病毒文件名：Linuu
病毒网站下载URL：http://198.148.106.57:75/

C&C服务器：198.148.106.57 端口：未知
此病毒下载后先关闭了iptables防火墙。，但是并未执行运行指令，所以C&C服务器的端口未知。
用处：发动DDoS攻击，对互联网破坏巨大。

---

V.DDoS病毒 No.4
病毒文件名：Lh-6
病毒网站下载URL：http://218.93.208.210:10232/

C&C服务器：218.93.208.210 端口：50050
上层服务器抓包内容如下图




用处：发动DDoS攻击，对互联网破坏巨大。

---

VI.DDoS病毒 No.5
病毒文件名：su
在系统内的文件名：ygljglkjgfg0
C&C服务器：51.38.200.187 端口：1520

用处：发动DDoS攻击，对互联网破坏巨大。

---

VII.DDoS病毒 No.6
病毒文件名：118
病毒网站下载URL：http://118.193.156.79:222/
C&C服务器无法获取，原因是运行时出现“总线错误”

---

VIII.DDoS病毒 No.7
病毒文件名：FCGlin
病毒网站下载URL：http://203.69.243.225:30000/

C&C服务器：218.61.195.36 端口：9487

用处：发动DDoS攻击，对互联网破坏巨大。

---

IX.DDoS病毒 No.8
病毒文件名：zhk233
病毒网站下载URL：http://122.114.77.190:54088/

（此病毒下载站已无法访问）

由于此病毒无法运行，所以无法获得C&C服务器信息

---

X.DDoS病毒 No.9
病毒文件名：LinuxTF
C&C服务器：112.3.28.155 端口：6681

上层服务器抓包内容如下图

用处：发动DDoS攻击，对互联网破坏巨大。

---

XI.DDoS病毒 No.10
病毒文件名：szx
C&C服务器：132.232.61.21 端口：6681
上层服务器抓包内容如下图


用处：发动DDoS攻击，对互联网破坏巨大。

---

点我下载样本（解压密码：www.zhanyingwl.com）