104.143.5.15||36114 | 104.143.0.0/20 | VERSAWEB-ASN | US | versaweb.com | Versaweb LLC 107.182.141.40|40-141-182-107-static.reverse.queryfoundry.net.|62638 | 107.182.140.0/23 | QUERY-FOUNDRY | US | queryfoundry.net | Shanghe Yang
下記のログは参考で↓
2015-06-23 01:29:42+0900 connection: 107.182.141.40:41625 [session: 5899] 2015-06-23 01:29:42+0900 connection: 104.143.5.15:51433 [session: 5900]
root権限のアクセスのssh攻撃を行い
2015-06-23 01:29:43+0900 root trying auth 2015-06-23 01:29:43+0900 root trying auth 2015-06-23 01:29:43+0900 root trying auth 2015-06-23 01:29:43+0900 root trying auth
下記のLinux/XOR.DDoSマルウェアがサーバにインストールされました↓
(a06.zip) = 3c49b5160b981f06bd5242662f8d0a54
(a07.zip) = bcb6b83a4e6e20ffe0ce3c750360ddf5
(a08.zip) = a99c10cb9713770b9e7dda376cddee3a
(a09.zip) = d1b5b4b4b5a118e384c7ff487e14ac3f
(a10.zip) = 83eea5625ca2affd3e841d3b374e88eb
【重要】本攻撃が日本国内のサーバに来てしまいました。
本マルウェア攻撃の警告を書きましたので、MMD-0033-2015(英文ですみません)
攻撃は現在止まりましたがマルウェアダウンロードサーバとCNCが未だアップされていますので、また別のIPから攻撃が来る可能性があり、念の為に下記のマルウェアサーバのIPもブロックして下さい↓
44ro4.cn 198.15.234.66 (マルウェア・ダウンロードサーバ) aa.hostasa.org 23.234.60.143 (マルウェアconfigサーバ) ns2.hostasa.org. 103.240.140.152 (CNC1) ns3.hostasa.org. 103.240.141.54 (CNC2) ns4.hostasa.org. 192.126.126.64 (CNC3)
本マルウェアに感染されたら、感染されたマシンがリモートからコントロールされてddosボットネットになります。
マルウェアの特徴はXORの暗号化機能です↓
参考情報は【1】 【2】 【3】です。
0 件のコメント:
コメントを投稿