已经中病毒两个步骤都要做,暂时没中病毒的只做第一部分。
(只有把MOBILE和ROOT密码全部修改之后才能彻底堵掉这个后门)
第一部分:(参照图列操作)
1.首先要改SSH的密码。先用CYDIA(或者下载附件双击安装)搜索并下载MobileTerminal。(由于cydia的不先进,在搜索框中输入MobileTerminal并不会直接显示出来,需要往下翻动去找)安装成功后重启iphone。
2.重新启动后运行MobileTerminal.。MOBILE和root的默认密码都是alpine,注意大小写)
先修改mobile密码:
键入:passwd;按确定(键盘左下角的return键)。
提示输入老密码(old password),按确定;
键入:alpine(注意,这个地方输入密码的时候屏幕是不显示的,你只管输入就可以。);按确定。
提示输新密码(new password),输入你的新密码;按确定,提示重新输入新密码,按确定。
3.修改root密码:
输入login,按确定。
输入root,按确定。
提示输入密码,输入默认密码:alpine。按确定;
键入:passwd,按确定;
输入老密码(old password):alpine,按确定;(这一步可能会省略,直接提示输入新密码)。
提示你输入新的密码,输入新密码,按确定;
提示重新输入新密码,输入新密码,按确定。
现在你已经完成了第一部分了 。(不需要进行第二步的可以按home键退出)
第二部分就是把遗留的文件删掉了。
MAC OSX下个人推荐IPHONE EXPLORER, WIN下建议用IFUNBOX或者91的文件管理在电脑上操作方便点。
第二部分:
删除如下文件:
(1). /var/mobile/Library/LockBackground.jpg
(2). /System/Library/LaunchDaemons/com.ikey.bbot.plist
(3). /bin/poc-bbot
(4). /bin/sshpass
(5). /var/log/youcanbeclosertogod.jpg
完毕!
首先是蠕虫的入口:
从一台iPhone攻击另一台iPhone,不断尝试周边的IP地址。如果你已经越狱,没有更改root用户的密码,并且安装了Open SSH(这是很多软件的依赖包,很可能自动安装),就很容易中招。(我是越狱以后第二天修改的密码,殊不知已经中招了)。现在iPhone 4的合约机越来越多,蠕虫传染的可能性也越来越大。
其次是蠕虫的判断:
通过Cydia的威风源,安装“全能系统信息查看”,支持3.x和4.x的版本;
运行该软件,在最下面选择“网络”功能
进入“TCP端口状态”
如果发现TCP连接有一大堆22端口的,那应该恭喜你,你可以通过清理蠕虫,达到正常耗电的目标了。
第三是蠕虫的清理:1、通过Cydia,安装“iFile文件管理工具”和“MobileTerminal终端”(如果你已经并且会用这两个工具了,就当我没说,如果你不知道哪里有,我建议你去google一下)。
2、在“全能系统信息查看”的最下方功能处,选择“进程”,滚动到“其它进程”栏目,你会发现一个叫怪异名字的进程,最常见的就是poc-bbot,记下它的PID冒号后面的数字###
3、运行MobileTerminal终端,输入su(意思是切换至具有高级权限的root用户),会提示你输入密码,默认的root用户密码是alpine。成功切换后,输入kill [空格] ###(刚才记下的那个PID),意思是干掉蠕虫进程。
刚才有锋友说kill了那个进程,又自动启动了。看来这个蠕虫还是分版本的,我中的是比较好杀的低版本呢。
个人建议:
在输入kill ###以后,立即输入rm [空格] /bin/poc-bbot,和rm [空格] /bin/sshpass试试能不能删除这两个文件,我没有试过,不知道是病毒启动得快还是您的手快。如果前两者都不行,那估计只有用WinSCP去杀了,这个比较麻烦一点,建议自行搜索教程。
4、用iFile进入/bin,删除蠕虫的执行文件,包括poc-bbot和sshpass
5、用iFile进入/System/Librabry/LauchDaemons,删除名字中有bbot字样的那个plist文件(意思是去掉蠕虫的自动加载)
第四是蠕虫的防止(这一步必须做否则还是会中招)
1、用MobileTerminal,输入passwd,会提示你输入老的密码,输入alpine,接着连续两遍输入你的新密码,此时已更改完成普通用户的密码
2、切换至root用户(输入su和密码alpine),照样passwd命令,老、新密码×2
没有评论:
发表评论