如今韩国网络安全公司ASEC（AhnLab Security Emergency Response Center）研究人员发现一种使用SHC（Shell脚本编译器）创建新的Linux恶意软件下载器，能在受害系统中下载植入门罗币（Monero）加密货币挖矿程序及DDoS IRC网络群组聊天僵尸病毒。

该SHC下载器一开始是由韩国用户上传到免费的VirusTotal线上扫毒服务上，且攻击通常集中在同一国家的Linux系统上，黑客之所以成功发动攻击，全拜对Linux系统上SSH连接的弱管理员账号凭证进行暴力破解所致。

通常Linux服务器上的安全软件可以侦测到黑客用恶意Bash Shell脚本中的系统命令，但通过SHC便能将恶意Bash Shell脚本转换成使用RC4算法编码的ELF可执行文件，如此一来，便能成功规避安全机制的侦测。

一旦SHC下载器被执行，便会分别下载XMRig挖矿程序，以及基于Pearl程序语言的DDoS IRC僵尸病毒，并安装到受害Linux服务器上。其中，XMRig挖矿程序会从远程URL以TAR压缩文件形式下载，接着解压缩至/usr/local/games/目录并执行。XMRig是极度滥用的开放源码CPU加密货币挖矿程序，专门通过受劫持服务器的可用计算资源来进行门罗币的挖矿。

至于DDoS IRC僵尸病毒会根据配置资料连接到指定的IRC服务器，然后再通过基于用户名的验证程序。一旦成功，该僵尸病毒会等待来自IRC服务器的命令，包括发动TCP Flood、UDP Flood和HTTP Flood等DDoS攻击，或执行端口扫描、Nmap扫描、sendmail命令、进程终止及日志清理等相关作业。

由于这类攻击多半是由于Linux服务器使用弱密码引起的，所以ASEC建议，管理员应改采并定期更换高坚固性的密码，同时更新最新修补程序，以避免漏洞攻击的可能。

原文来自：https://baijiahao.baidu.com/s?id=1754354417512226903&wfr=spider&for=pc

本文地址：https://www.linuxprobe.com/linux-shc-attack.html编辑：黑曜羽，审核员：清蒸github

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/