Hacking
Dịch vụ chống Ddos 'clear-ddos.com' thả backdoor vào các server của khách hàng
Hiện tại trên group HCE đang thông báo dịch vụ của "clear-ddos.com" đang thả backdoor vào các server của khách hàng. mọi người cập nhật tại đây nhé :) 154.12.221.162(dot)clear-ddos.com ---&…
Hiện tại trên group HCE đang thông báo dịch vụ của "clear-ddos.com" đang thả backdoor vào các server của khách hàng. mọi người cập nhật tại đây nhé :)
154.12.221.162(dot)clear-ddos.com ---> Dịch vụ chống ddos nhưng chính nó đang thả backdoor vào server server khách hàng của mình với backdoor có tên là Gate 6. (Con Gate 5 nó nhắm vào server 32 bit)
Trước khi chạy nó sẽ kiểm tra xem trong /tmp/moni.lock có rỗng hay không, nếu có giá trị ghi trong file đo thì nó sẽ đọc và kill proccess ghi trong file moni.lock đi. (theo mình biết thì số trong file đó chính là pid của proccess) và sau đó nó tạo ra một .lock mới có tên là /tmp/gate.lock.
root 10672 1 0 Jul02 ? 00:08:08 /root/b26
Chính là con backdoor trên.
Em ấy sẽ symlink file /etc/init.d/DbSecuritySpt để tự động chạy khi server khởi động.
Và sau đó em ấy sẽ copy đè lên các file executive chính của Server
Tuy nhiên thấy con này kill chưa được chuẩn thì phải nên proccess kia vẫn còn nguyên:
root 10688 1 0 Jul02 ? 00:00:02 /etc/ssh/sshpa
Còn nhiều điều thú vị đằng sau con backdoor này. Bà con ai quan tâm muốn lấy mẫu thì cứ pm nhé
154.12.221.162(dot)clear-ddos.com ---> Dịch vụ chống ddos nhưng chính nó đang thả backdoor vào server server khách hàng của mình với backdoor có tên là Gate 6. (Con Gate 5 nó nhắm vào server 32 bit)
https://www.virustotal.com/en/file/8cf917f730b3432a1d238a44943f520142f52ac07494460aec3008a7e954dfbb/analysis/1405535309/
Trước khi chạy nó sẽ kiểm tra xem trong /tmp/moni.lock có rỗng hay không, nếu có giá trị ghi trong file đo thì nó sẽ đọc và kill proccess ghi trong file moni.lock đi. (theo mình biết thì số trong file đó chính là pid của proccess) và sau đó nó tạo ra một .lock mới có tên là /tmp/gate.lock.
root 10672 1 0 Jul02 ? 00:08:08 /root/b26
Chính là con backdoor trên.
Em ấy sẽ symlink file /etc/init.d/DbSecuritySpt để tự động chạy khi server khởi động.
Và sau đó em ấy sẽ copy đè lên các file executive chính của Server
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
Tuy nhiên thấy con này kill chưa được chuẩn thì phải nên proccess kia vẫn còn nguyên:
root 10688 1 0 Jul02 ? 00:00:02 /etc/ssh/sshpa
https://www.virustotal.com/en/file/8cf917f730b3432a1d238a44943f520142f52ac07494460aec3008a7e954dfbb/analysis/1405536212/
Còn nhiều điều thú vị đằng sau con backdoor này. Bà con ai quan tâm muốn lấy mẫu thì cứ pm nhé
Nguồn : HCEgroup
Related post
Hung.Pro.VN
Nhà thiết kế WebTôi là admin trang Hung.Pro.VN là một người có đam mê với Blogspot, kinh nghiệm 5 năm thiết kế ra hàng trăm mẫu Template blogpsot như" Bán hàng, bất động sản, landing page, tin tức...
Nhận xét
Đăng nhận xét