mercado не качайте залит там шелл из-за этого скрипта я поймал абузу
Здравствуйте.
К нам поступила жалоба о наличие вредоносного ПО на Вашем сервере, которое используется для атак других серверов.
Были вынуждены заблокировать Ваш сервер: 178.57.220.210
\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\
IP-адрес (178.57.220.210) под свой контроль, по-видимому, один из наших клиентов в рамках скоординированной Ддос ботнет. Мы вручную рассмотрел захватывает от этой атаки и не верю, что Ваш IP-адрес был поддельным, на основе ограниченного числа уникальных Хостов, атакующих нас, identicality многих атакующих IP-адресов на те, которые мы видели в прошлом, и неслучайное распределение IP-адресов.
Вполне вероятно, что этот узел является одним из следующих, по ответам, что другие прислали нам:
- Взломанный видеорегистратор, таких как "прекрасно" фирменное устройство (реф:
http://www.coresecurity.cом/бюллетени/прекрасно-яп-камер-несколько-vulnerспособностей)
- Взломанные устройства ipmi, такие как один выступили компания Supermicro (возможно, потому, что он использует по умолчанию U/Р админ/админ или потому что ее пароль был найден через эксплойт описанной в
http://arstechnica.com/seобласти/2014/06/хотя-бы-32000-сервера-трансляции-админ-пароли-в-в-клиар-консультативно-предупреждает/)
- Взломанный маршрутизатор, такой как один сделанный Китаем Телеком до сих пор есть возможность по умолчанию имя пользователя admin и пароль; по Нетис, с помощью встроенного в интернет-доступной бэкдор; или один работает старая версия AirOS с ее открытыми административный интерфейс
- Взломанный ксерокс-брендированные устройства
- Некоторые другие взломанные автономное устройство
- Взломанный хостинг, например, один использует уязвимую версию
WordPress, через phpmyadmin, или zPanel
- Взломанный клиент, например, одна установлена уязвимая версия веб-браузера подвержены эксплойт java
- Сервер с небезопасным паролем, что был грубой вынужденной, например, через SSH или RDP
Собственно атака состояла из пакетов с конкретными отличительными характеристиками. Это пример трафика с IP-адреса, как в "тсрйитр" утилиты и захвачен наш роутер во время атаки.
Дата/временные метки (в самом левом) есть UTC.
2015-10-15 00:02:20.195528 ИС (ГС 0х0, ТТЛ-59, идентификатор 0, смещение 0, флаги [ДФ], прото протокол udp (17), длина 29)
178.57.220.210.60503 > 162.248.94.х.65500: УДП, Длина 1
От 0x0000: 4500 001д 0000 4000 3в11 aed9 b239 dcd2 Е.....@.;....9..
0x0010: a2f8 5ef2 ec57 ffdc 0009 1cb0 66 ..^..Ш......Ф
2015-10-15 00:02:20.195629 ИС (ГС 0х0, ТТЛ-59, идентификатор 0, смещение 0, флаги [ДФ], прото протокол udp (17), длина 29)
178.57.220.210.60503 > 162.248.94.х.65500: УДП, Длина 1
От 0x0000: 4500 001д 0000 4000 3в11 aed9 b239 dcd2 Е.....@.;....9..
0x0010: a2f8 5ef2 ec57 ffdc 0009 1cb0 66 ..^..Ш......Ф
2015-10-15 00:02:20.195654 ИС (ГС 0х0, ТТЛ-59, идентификатор 0, смещение 0, флаги [ДФ], прото протокол udp (17), длина 29)
178.57.220.210.60503 > 162.248.94.х.65500: УДП, Длина 1
От 0x0000: 4500 001д 0000 4000 3в11 aed9 b239 dcd2 Е.....@.;....9..
0x0010: a2f8 5ef2 ec57 ffdc 0009 1cb0 66 ..^..Ш......Ф
2015-10-15 00:02:20.195693 ИС (ГС 0х0, ТТЛ-59, идентификатор 0, смещение 0, флаги [ДФ], прото протокол udp (17), длина 29)
178.57.220.210.60503 > 162.248.94.х.65500: УДП, Длина 1
От 0x0000: 4500 001д 0000 4000 3в11 aed9 b239 dcd2 Е.....@.;....9..
0x0010: a2f8 5ef2 ec57 ffdc 0009 1cb0 66 ..^..Ш......Ф
2015-10-15 00:02:20.195735 ИС (ГС 0х0, ТТЛ-59, идентификатор 0, смещение 0, флаги [ДФ], прото протокол udp (17), длина 29)
178.57.220.210.60503 > 162.248.94.х.65500: УДП, Длина 1
От 0x0000: 4500 001д 0000 4000 3в11 aed9 b239 dcd2 Е.....@.;....9..
0x0010: a2f8 5ef2 ec57 ffdc 0009 1cb0 66 ..^..Ш......Ф
2015-10-15 00:02:20.195779 ИС (ГС 0х0, ТТЛ-59, идентификатор 0, смещение 0, флаги [ДФ], прото протокол udp (17), длина 29)
178.57.220.210.60503 > 162.248.94.х.65500: УДП, Длина 1
От 0x0000: 4500 001д 0000 4000 3в11 aed9 b239 dcd2 Е.....@.;....9..
0x0010: a2f8 5ef2 ec57 ffdc 0009 1cb0 66 ..^..Ш......Ф
(Заключительный октет нашего клиента IP-адрес маскируется в выше производительность, т. к. некоторые автоматические анализаторы запутаться, когда несколько IP-адресов включены. Значение этого октета является "242".)
-Джон
Президент
NFOservers.com
