耗尽服务器洪荒之力的BillGates僵尸网络

耗尽服务器洪荒之力的BillGates僵尸网络

千里百科

      BillGates攻击程序作为目前国内最流行的分布式拒绝服务攻击（DDoS）软件之一，被攻击者广泛使用，在DDoS攻击程序中占比高达32.33%。

      攻击者普遍利用服务器上SSH、TELNET等弱口令漏洞，向服务器植入BillGates僵尸程序，被植入的僵尸程序接受主控服务器指令，向指定的目标发起DDoS攻击。

BillGates的主要攻击模式有TCP-SYN Flood 、UDP Flood、 DNS Flood 、ICMP Flood 、HTTP Flood、DNS放大攻击。

功能分析

启动模块

僵尸程序将程序写入/etc/init.d并将/etc/init.d程序符号连接到/etc/rc.d/中

Rookit功能

加载恶意模块/usr/lib/libamplify.so

CManager

CManager包含了僵尸程序的主要功能，但与其他BillGates变种相比，只有以下几种功能：

CThreadSignaledMessageList<CCmdMsg>

CCmdMsg消息队列，包含服务器下发的控制命令

CThreadSignaledMessageList<CThreadConnection>

CThreadConnection消息队列

CThreadSignaledMessageList<CThreadShell>

CThreadShell消息队列，用来保持反向连接的shell会话

反调试

      在此段代码看来，程序是对gdb进行了反调试对抗，但后面的代码确没有发现去使用这个变量v0，成了一个没有卵用的反调试对抗。

清除方法

1、杀死当前系统中的可疑进程


2、清除/etc/init.d和/etc/init.d中的可疑启动项


3、重点检查getty、lsof、netstat、ps、ss、syn命令

666666666666666

强烈建议从头说起

太深了，不会玩啊

又学了一招，感谢分享~