martedì 24 luglio 2018

Le 3L33T HaXx0rZZZZ

Dunque, stamattina nel log delle chiamate sospette abbiamo...


Cominciamo con quello delle 8:07, che è un Hacker Super Elite che da un indirizzo IP giapponese (nodo di uscita di chissà dove) tenta di iniettare una shell proveniente da un IP greco (178.128.ecc.ecc) per un presunto aggeggio su processore MIPS, che evidentemente accetterebbe quella patacca senza dare un errore 400 Bad Request Error.

Nella sua cartella degli exploit sull'IP greco (allestita appena un'ora e mezza prima: dunque o è un giovincello scatenato o è semplicemente un malware) ne ha per tutti i gusti, e infatti mi sono divertito a salvarli uno per uno (con curl perché il Firefox si lamenta che quei file sono sospetti), regalandogli così il mio IP temporaneo (e nattato) che gli farà perdere altro tempo:


I vari qtx.* sono eseguibili linkati staticamente per diverse architetture. Dunque l'injector sta presumendo di parlare con un router basato su architettura MIPS e sta tentando di sfruttarne una vulnerabilità iniettando nella pagina di login.php un eseguibile qtx.mips da rinominare /tmp/rz e da lanciare dopo averlo chmoddato a 777.

Le shell-script rva, rvl, rvs, rvz tentano di scaricare uno a uno quegli stessi qtx.* e ad eseguirli dopo averli rinominati A B C D..., a seconda di /cgi-bin /tmp /maker o directory principale. Pare proprio che si siano fatti la "mappa" delle vulnerabilità dei vari aggeggi dell'Internet of Things:

Notate anche voi troppi punti e virgola?
Dunque l'autore è un giuovine nato col Java...
Infine cancellano le proprie tracce con un rm -rf /tmp/* che suona un po' pericoloso.
Notare più sotto un altro che tenta la stessa vulnerabilità ma da un IP egiziano che tenta lo stesso con gli script conservati su un IP nordamericano: in tal caso l'arnese si chiama gemini e ha come vittime dispositivi Huawei e D-Link:


È comica la shell-script dlink che in pompa magna esegue il codice malware con l'argomento selfrep.dlink ("woooh!! self-replicate!! sono gruosso!!"):


Quello dall'indirizzo di Pechino delle 7:45 gioca invece sulla debolezza di avere un interprete PHP nella cartella cgi-bin del webserver, e manda il bombardone di codici esadecimali illudendosi che nessuno si accorga del trucchetto:

A me invece bastava Ruby per scovare il trucchetto!

Eh, sì: è inutile creare un Linux invulnerabile se un programmatore deficiente e sottopagato infila nella cgi-bin l'eseguibile php.

1 commento: