linux - cron.hourly 中的这个文件 (gcc.sh) 是恶意软件吗？

Question

我的服务器上遇到了高达 1 Gbps 的峰值，并且一直在寻找病毒和恶意软件。我在/etc/cron.hourly 中找到了这个文件:gcc.sh，想知道是否有人见过类似的东西，并且会对代码有一些了解。谢谢!

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

Answer 1

很有可能。它使用/lib/libudev.so.6 作为可执行文件，而顾名思义它应该是一个库 - 尝试使用像 nm 或 objdump 这样的工具来查看它是否是可执行文件。它从/lib/libudev.so 复制到 .so.6 - 而通常 .so 是指向版本控制的符号链接(symbolic link)。它还运行一个 for 循环来启动所有网络连接，即使您已将它们关闭也是如此。它使用知名编译器的名称来看起来合法。我认为这 99% 以上可能是病毒。

找到另一个自称为 gcc 的东西的引用 - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver .是的，这是 unix 系统上的 DDoS 病毒，完全符合您的问题。