最初の URL (http://something.example.com/xx) をダウンロードして実行しました
$ file xx
xx: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.15, not stripped
したがって、これは Linux マシンで実行するための実行可能プログラムです。 Linux サーバーを実行していると仮定します。次に、プログラムが何をするかを確認したいのですが、もちろん実行する必要はありません。手っ取り早い方法は、実行可能ファイルに埋め込まれたすべてのコンピューター命令コードを無視し、人間が読み取れる文字列に何が含まれているかを確認することです。だから、走った
$ strings xx | less
[... excerpt ...]
NOTICE %s :Receiving file.
NOTICE %s :Saved as %s
NOTICE %s :Spoofs: %d.%d.%d.%d
NOTICE %s :Spoofs: %d.%d.%d.%d - %d.%d.%d.%d
NOTICE %s :Kaiten wa goraku
NOTICE %s :NICK <nick>
NOTICE %s :Nick cannot be larger than 9 characters.
NICK %s
NOTICE %s :DISABLE <pass>
Disabled
Enabled and awaiting orders
NOTICE %s :Current status is: %s.
NOTICE %s :Already disabled.
NOTICE %s :Password too long! > 254
NOTICE %s :Disable sucessful.
NOTICE %s :ENABLE <pass>
NOTICE %s :Already enabled.
NOTICE %s :Wrong password
NOTICE %s :Password correct.
NOTICE %s :Removed all spoofs
NOTICE %s :What kind of subnet address is that? Do something like: 169.40
NOTICE %s :Unable to resolve %s
NOTICE %s :UDP <target> <port> <secs>
NOTICE %s :Packeting %s.
NOTICE %s :PAN <target> <port> <secs>
NOTICE %s :Panning %s.
NOTICE %s :TSUNAMI <target> <secs>
NOTICE %s :Tsunami heading for %s.
NOTICE %s :UNKNOWN <target> <secs>
NOTICE %s :Unknowning %s.
NOTICE %s :MOVE <server>
NOTICE %s :TSUNAMI <target> <secs> = Special packeter that wont be blocked by most firewalls
NOTICE %s :PAN <target> <port> <secs> = An advanced syn flooder that will kill most network drivers
NOTICE %s :UDP <target> <port> <secs> = A udp flooder
NOTICE %s :UNKNOWN <target> <secs> = Another non-spoof udp flooder
NOTICE %s :NICK <nick> = Changes the nick of the client
NOTICE %s :SERVER <server> = Changes servers
NOTICE %s :GETSPOOFS = Gets the current spoofing
NOTICE %s :SPOOFS <subnet> = Changes spoofing to a subnet
NOTICE %s :DISABLE = Disables all packeting from this client
NOTICE %s :ENABLE = Enables all packeting from this client
NOTICE %s :KILL = Kills the client
NOTICE %s :GET <http address> <save as> = Downloads a file off the web and saves it onto the hd
NOTICE %s :VERSION = Requests version of client
NOTICE %s :KILLALL = Kills all current packeting
NOTICE %s :HELP = Displays this
NOTICE %s :IRC <command> = Sends this command to the server
NOTICE %s :SH <command> = Executes a command
NOTICE %s :Killing pid %d.
TSUNAMI
UNKNOWN
NICK
SERVER
GETSPOOFS
"Enabled and awaiting orders" は、これがサーバーをボットネット ノードとして機能させるプログラムであることを示唆しています。
次にダウンロードするファイル http://something.example.com/ru はシェル スクリプトで、.tar.gz をダウンロードします。 http://example.hu/ar/64.tgz (または CPU アーキテクチャによっては 32.tgz) からファイルをダウンロードし、それをインストールして実行します。このアーカイブには 3 つのファイルが含まれています:
- A
phpLinux 用にコンパイルされたインタープリター pnscanという名前の別の Linux 実行可能ファイルrunという名前のシェル スクリプトpnscanを起動します
それが行うもう 1 つのことは、上記で投稿したシェル スクリプトを正確に含む http://something.example.com/sh をダウンロードして実行する毎週の cron ジョブを作成することです。基本的に、cron ジョブをアンインストールしない限り、マシンは毎週自動的に再感染します。
推奨されるアクション
コードは、スクリプト キディーによってまとめられたようです。 pnscan などの既存のツールを使用します 、いくつかのシェルスクリプトと結び付けられています。これは Stuxnet 品質のコードではありません。
後で追加した情報 (Apache サーバーは PHP をサポートしておらず、Apache サーバーはまだ正常に動作しており、cron ジョブはインストールされていません) から、コードがサーバー上で実際に実行されたことはないようです。その場合、あなたはおそらく大丈夫です! ps ax を実行 不審なものが実行されていないかどうかを確認してください。問題はありません。
詳細については、このブログ投稿を参照してください:
<ブロック引用>単純な HTTP POST リクエストを使用して PHP コードを実行できる脆弱性が Apache/PHP で発見されて以来、自動化された攻撃が広く開始され、多数のホストが侵害されました。
これらの攻撃はここ数か月で減少しましたが、これらの自動化された攻撃の 1 つは、使用されたアプローチがワームのようなものに分類できるという事実から、特に興味深いものでした。技術的な部分に入る前に、より高いレベルの全体的な攻撃に入りましょう.
攻撃者は、kingcope [exploit-db] によってリリースされたエクスプロイトを、いくつかのスクリプトとバイナリをダウンロードする変更されたペイロードで使用し、次に IPv4 アドレスのランダムな A ブロックのスキャンを開始しました。ホストが Apache を実行していることが判明した場合、エクスプロイトの試みが開始され、プロセス全体が最初からやり直されます。これらの攻撃は、2013 年 11 月頃に初めて発見されました。
概説した情報に基づくと、これは上記のエクスプロイトを悪用するある種のボットネットのようです。