Kaudited-安装为/ usr / bin / kaudited的文件 。这个二进制文件将释放并在受感染系统上安装多个可加载的内核模块(LKM)以及用于监视加密货币挖掘程序文件和进程的监视程序组件 。
文章插图
图7. 由Kaudited释放的内核模块
文章插图
图8.由Kaudited释放的监视程序组件
Iproute-这个组件挂钩系统调用,使用getdents(通常用于读取目录的内容)隐藏特定文件 。
文章插图
图9. Iproute使用getdents隐藏特定文件
Netlink-一个能够伪造网络流量统计信息(特别是涉及某些IP地址和端口的流量)以及CPU统计信息的组件,这将导致受感染系统的CPU使用率始终显示为低 。
文章插图
图10.用于实现CPU使用率始终显示为低的代码片段
结论Skidmap使用了一些相对高级的方法来确保它自身及其组件很难被检测出来,如独特的内核模块加载方式 。再加上能够替换系统原始文件的能力,这使得它与其他恶意软件相比更加难以被清理 。
此外,Skidmap还能够创建多种允许攻击者访问受感染系统的方法,这使得它即使被清理,也能够重新感染已恢复正常的系统,从而继续加密货币挖掘活动,降低服务器或工作站的性能 。
推荐阅读
![[]最适合婴儿游泳馆双十一活动的6种促销模式](http://imgs.tom.com/product/201910/THUMBNAIL6B1D9DAD81C94654.jpg)
- 怎样让后台小哥哥快速对接你的前端页面
- 梦见和仇人好了是什么意思 梦见你的仇人和你和好了
- 酒驾|男子聚餐后醉驾摩托出事故 借车人被判赔5万余元
- Linux服务器中招挖矿矿机程序导致系统CPU资源耗尽的排查过程
- 什么是DNS服务器?怎么修改才能提升网速?
- CentOS7.6安装Tomcat服务器
- nginx反向代理配置两个不同服务器
- 使用 Nuxt.js来实现Vue的SSR服务器端渲染之安装
- Linux终端连接Linux服务器
- 身体出现6个症状,说明你的体质太虚弱!是时候要运动起来了