Hiện tại trên group HCE đang thông báo dịch vụ của "clear-ddos.com" đang thả backdoor vào các server của khách hàng. mọi người cập nhật tại đây nhé :)
154.12.221.162(dot)clear-ddos.com ---> Dịch vụ chống ddos nhưng chính nó đang thả backdoor vào server server khách hàng của mình với backdoor có tên là Gate 6. (Con Gate 5 nó nhắm vào server 32 bit)
Trước khi chạy nó sẽ kiểm tra xem trong /tmp/moni.lock có rỗng hay không, nếu có giá trị ghi trong file đo thì nó sẽ đọc và kill proccess ghi trong file moni.lock đi. (theo mình biết thì số trong file đó chính là pid của proccess) và sau đó nó tạo ra một .lock mới có tên là /tmp/gate.lock.
root 10672 1 0 Jul02 ? 00:08:08 /root/b26
Chính là con backdoor trên.
Em ấy sẽ symlink file /etc/init.d/DbSecuritySpt để tự động chạy khi server khởi động.
Và sau đó em ấy sẽ copy đè lên các file executive chính của Server
Tuy nhiên thấy con này kill chưa được chuẩn thì phải nên proccess kia vẫn còn nguyên:
root 10688 1 0 Jul02 ? 00:00:02 /etc/ssh/sshpa
Còn nhiều điều thú vị đằng sau con backdoor này. Bà con ai quan tâm muốn lấy mẫu thì cứ pm nhé
154.12.221.162(dot)clear-ddos.com ---> Dịch vụ chống ddos nhưng chính nó đang thả backdoor vào server server khách hàng của mình với backdoor có tên là Gate 6. (Con Gate 5 nó nhắm vào server 32 bit)
https://www.virustotal.com/en/file/8cf917f730b3432a1d238a44943f520142f52ac07494460aec3008a7e954dfbb/analysis/1405535309/
Trước khi chạy nó sẽ kiểm tra xem trong /tmp/moni.lock có rỗng hay không, nếu có giá trị ghi trong file đo thì nó sẽ đọc và kill proccess ghi trong file moni.lock đi. (theo mình biết thì số trong file đó chính là pid của proccess) và sau đó nó tạo ra một .lock mới có tên là /tmp/gate.lock.
root 10672 1 0 Jul02 ? 00:08:08 /root/b26
Chính là con backdoor trên.
Em ấy sẽ symlink file /etc/init.d/DbSecuritySpt để tự động chạy khi server khởi động.
Và sau đó em ấy sẽ copy đè lên các file executive chính của Server
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
Tuy nhiên thấy con này kill chưa được chuẩn thì phải nên proccess kia vẫn còn nguyên:
root 10688 1 0 Jul02 ? 00:00:02 /etc/ssh/sshpa
https://www.virustotal.com/en/file/8cf917f730b3432a1d238a44943f520142f52ac07494460aec3008a7e954dfbb/analysis/1405536212/
Còn nhiều điều thú vị đằng sau con backdoor này. Bà con ai quan tâm muốn lấy mẫu thì cứ pm nhé
Nguồn : HCEgroup