Может кто-нибудь определить, что за штука от хакеров досталась?

0

2

Пришло сообщение от провайдера о том, что какая-то подозрительная активность с одного из моих компьютеров идет. Внимательное рассмотрение показало, что поселился троян (SHV5 Rootkit).

Трояна выгнал, но в процессе набрел на непонятный архив - http://www.mediafire.com/?saw0mm0a3d08dqg (~3 мегабайта) Может кто-нибудь сказать, что конкретно за штука? Запускать пробовал, требует пароль, иначе угрожает rm -rf устроить. Личинка того трояна или что-то другое?

Ссылка

←	Обнаружение сканирования/атак.

Исследование swap-раздела ОС, ушедшей в suspend to disk

→

На вид это просто куча разных тулз, смотреть что делают бинари лениво.

winddos ★★★
(28.12.11 16:52:57 MSK)

Запускать пробовал

Надеюсь в чруте, или хотя бы непривелигерованным свежесозданным пользователем?

imul ★★★★★
(28.12.11 17:00:36 MSK)

Ответ на: комментарий от imul 28.12.11 17:00:36 MSK

Нет, специально под рутом залогинился. :D

В чруте, само собой.

aikr
(28.12.11 17:06:46 MSK) автор топика

Ответ на: комментарий от aikr 28.12.11 17:06:46 MSK

Ну, на лбу же не у всех написано, поэтому всегда лучше переспросить, чем недоспросить.

imul ★★★★★
(28.12.11 17:08:23 MSK)

Ссылка

Ответ на: комментарий от winddos 28.12.11 16:52:57 MSK

На вид это просто куча разных тулз, смотреть что делают бинари лениво.

Да не, смотреть не обязательно. Просто вдруг кто знаком. Интересно, это сам руткит, набор для его установки или что-то вообще левое...

aikr
(28.12.11 17:09:15 MSK) автор топика

Запускать пробовал, требует пароль, иначе угрожает rm -rf устроить.

Я думаю он блефует. Надевай покерфейс и жми Enter.

mopsene ★★★
(28.12.11 17:12:51 MSK)

Ссылка

Ответ на: комментарий от aikr 28.12.11 17:09:15 MSK

Ну я посмотрел.
Это просто набор разных тулз, может один из бинарей это сам руткит :)

winddos ★★★
(28.12.11 17:13:04 MSK)

Ссылка

Ответ на: комментарий от aikr 28.12.11 17:09:15 MSK

Ну и проверь в чруте, отследи какие процессы создаст.

mopsene ★★★
(28.12.11 17:13:22 MSK)

Ссылка

Это не SHV5, это я точно могу сказать.(что в архиве)
Остальное библиотеки и ссылки на машины с открытым phpmyadmin в мир, а также ip адреса по всей видимости уязвимого для брутфорса кажется французского провайдера. По бинарникам, мало, что могу сказать, не запуская тем более даже, но предполагаю, что это либо брутфорсилка phpmyadmin, либо чекалка уже взломанных тачек. В файлах .payload код в base64 можно посмотреть скажем здесь:
http://www.opinionatedgeek.com/dotnet/tools/base64decode/
В info.payload например: echo «st4r7».php_uname().«7h33nd»; - что очень напоминает логин и пароль. Да еще на тачке франзузкого провайдера по всей видимости php shell, ну не мудрено когда даже mysql смотрит в мир.

anonymous_sama ★★★★★
(28.12.11 18:00:33 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Обнаружение сканирования/атак.

Security

Исследование swap-раздела ОС, ушедшей в suspend to disk

→

Похожие темы