Saya mengunduh URL pertama (http://something.example.com/xx) dan menjalankan
$ file xx
xx: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.15, not stripped
Jadi, ini adalah program yang dapat dieksekusi yang dimaksudkan untuk dijalankan di mesin Linux. Saya menganggap Anda menjalankan server Linux. Selanjutnya, kami ingin melihat apa yang dilakukan program, tetapi tentu saja Anda tidak ingin menjalankannya. Cara cepat adalah dengan mengabaikan semua kode instruksi komputer yang disematkan dalam executable, dan lihat saja string yang dapat dibaca manusia yang mungkin ada di dalamnya. Jadi, saya lari
$ strings xx | less
[... excerpt ...]
NOTICE %s :Receiving file.
NOTICE %s :Saved as %s
NOTICE %s :Spoofs: %d.%d.%d.%d
NOTICE %s :Spoofs: %d.%d.%d.%d - %d.%d.%d.%d
NOTICE %s :Kaiten wa goraku
NOTICE %s :NICK <nick>
NOTICE %s :Nick cannot be larger than 9 characters.
NICK %s
NOTICE %s :DISABLE <pass>
Disabled
Enabled and awaiting orders
NOTICE %s :Current status is: %s.
NOTICE %s :Already disabled.
NOTICE %s :Password too long! > 254
NOTICE %s :Disable sucessful.
NOTICE %s :ENABLE <pass>
NOTICE %s :Already enabled.
NOTICE %s :Wrong password
NOTICE %s :Password correct.
NOTICE %s :Removed all spoofs
NOTICE %s :What kind of subnet address is that? Do something like: 169.40
NOTICE %s :Unable to resolve %s
NOTICE %s :UDP <target> <port> <secs>
NOTICE %s :Packeting %s.
NOTICE %s :PAN <target> <port> <secs>
NOTICE %s :Panning %s.
NOTICE %s :TSUNAMI <target> <secs>
NOTICE %s :Tsunami heading for %s.
NOTICE %s :UNKNOWN <target> <secs>
NOTICE %s :Unknowning %s.
NOTICE %s :MOVE <server>
NOTICE %s :TSUNAMI <target> <secs> = Special packeter that wont be blocked by most firewalls
NOTICE %s :PAN <target> <port> <secs> = An advanced syn flooder that will kill most network drivers
NOTICE %s :UDP <target> <port> <secs> = A udp flooder
NOTICE %s :UNKNOWN <target> <secs> = Another non-spoof udp flooder
NOTICE %s :NICK <nick> = Changes the nick of the client
NOTICE %s :SERVER <server> = Changes servers
NOTICE %s :GETSPOOFS = Gets the current spoofing
NOTICE %s :SPOOFS <subnet> = Changes spoofing to a subnet
NOTICE %s :DISABLE = Disables all packeting from this client
NOTICE %s :ENABLE = Enables all packeting from this client
NOTICE %s :KILL = Kills the client
NOTICE %s :GET <http address> <save as> = Downloads a file off the web and saves it onto the hd
NOTICE %s :VERSION = Requests version of client
NOTICE %s :KILLALL = Kills all current packeting
NOTICE %s :HELP = Displays this
NOTICE %s :IRC <command> = Sends this command to the server
NOTICE %s :SH <command> = Executes a command
NOTICE %s :Killing pid %d.
TSUNAMI
UNKNOWN
NICK
SERVER
GETSPOOFS
"Diaktifkan dan menunggu pesanan" menunjukkan bahwa ini adalah program yang menjadikan server Anda bertindak sebagai simpul botnet.
File berikutnya yang diunduh, http://something.example.com/ru, adalah skrip shell, yang kemudian mengunduh .tar.gz
file dari http://example.hu/ar/64.tgz (atau 32.tgz, tergantung pada arsitektur CPU Anda), lalu instal dan jalankan. Arsip itu berisi tiga file:
- A
php
dikompilasi untuk Linux - Linux lain yang dapat dieksekusi bernama
pnscan
- Skrip shell bernama
run
yang meluncurkanpnscan
Hal lain yang dilakukannya adalah membuat tugas cron mingguan yang mengunduh dan menjalankan http://something.example.com/sh, yang berisi persis skrip shell yang Anda posting di atas. Pada dasarnya, itu akan secara otomatis menginfeksi ulang mesin Anda setiap minggu kecuali Anda menghapus tugas cron itu.
Tindakan yang disarankan
Kode sepertinya disatukan oleh script kiddies. Itu menggunakan alat yang ada seperti pnscan
, diikat bersama dengan beberapa skrip shell. Ini bukan kode berkualitas Stuxnet.
Dari informasi yang Anda tambahkan nanti (server Apache Anda tidak memiliki dukungan PHP, server Apache Anda masih berjalan normal, dan tidak ada cron job yang diinstal), sepertinya kode tersebut tidak pernah benar-benar berjalan di server Anda. Dalam hal ini, Anda mungkin baik-baik saja! Jalankan ps ax
untuk memeriksa apakah sesuatu yang mencurigakan sedang berjalan, dan Anda akan baik-baik saja.
Lihat postingan blog ini untuk detail selengkapnya:
Sejak kerentanan ditemukan di Apache/PHP yang memungkinkan kode PHP dieksekusi menggunakan permintaan HTTP POST sederhana, serangan otomatis diluncurkan secara luas yang menyebabkan sejumlah besar host disusupi.
Serangan tersebut telah menurun selama beberapa bulan terakhir, namun salah satu serangan otomatis ini sangat menarik karena pendekatan yang digunakan dapat dikategorikan sebagai worm-like. Mari masuk ke keseluruhan serangan di level yang lebih tinggi sebelum masuk ke bagian teknis.
Aktor tersebut menggunakan eksploit yang dirilis oleh kingcope [exploit-db] dengan muatan yang dimodifikasi yang mengunduh beberapa skrip dan binari yang pada gilirannya mulai memindai blok A acak dari alamat IPv4. Jika host ditemukan menjalankan Apache, upaya eksploitasi akan diluncurkan dan seluruh proses akan dimulai kembali. Serangan ini pertama kali terlihat sekitar November 2013.
Berdasarkan informasi yang diuraikan, tampaknya ada semacam botnet yang menjalankan eksploit yang disebutkan di atas.