全球主机交流论坛

标题: oneinstack脚本木马程序样本（简单流程）附件打包 [打印本页]

作者: Syc 时间: 2023-5-1 15:48
标题: oneinstack脚本木马程序样本（简单流程）附件打包
本帖最后由 Syc 于 2023-5-1 16:06 编辑

简单流程：
0. 执行 ./load linux@QWE
1. 程序会检查是否RedHat，目前只针对RedHat系列，debian/ubuntu系列不执行后续
2. 下载 s.jpg 并释放到 /var/crond/ 目录，释放文件 cr.jpg 和 install可执行
3. 执行 ./install 释放 cr.jpg 到 cr目录，文件：ba、cr、snc、libaudit.so.2，并注册服务
4. 后面就是日常操作，取得控制权，成为rbq.

样本文件：
（24hour限制100次下载，希望有mjj可以分流一下）
https://wormhole.app/yx1QM#RpsHRoUxuREtxzW0tW6Xtg
解压密码：www.php.wf

(, 下载次数: 4)

作者: rem 时间: 2023-5-1 15:51
感谢分享

作者: iwil 时间: 2023-5-1 15:55
啥意思？是oneinstack还是oninstack？

作者: Syc 时间: 2023-5-1 16:06

iwil 发表于 2023-5-1 15:55
啥意思？是oneinstack还是oninstack？

oneinstack 标题错误已修正

作者: 1874 时间: 2023-5-1 16:08
早期用过这玩意，没想到啊，还是lnmp军哥

作者: DushuAPP 时间: 2023-5-1 16:08

不懂是什么先下载。

作者: CJ大牛赚美元 时间: 2023-5-1 16:14
提示: 作者被禁止或删除内容自动屏蔽

作者: 5ean 时间: 2023-5-1 16:19
https://www.123pan.com/s/YRbZVv-VxPX.html
帮你传到123pan了

作者: fyfy010 时间: 2023-5-1 16:24

1874 发表于 2023-5-1 16:08
早期用过这玩意，没想到啊，还是lnmp军哥

军哥？

不会吧？

作者: SK_ 时间: 2023-5-1 16:29
有进一步分析出来会干啥吗？ddcc？？还是挖矿？我看那个木马下载地址是今年4月份注册的域名。

作者: Syc 时间: 2023-5-1 19:56

SK_ 发表于 2023-5-1 16:29
有进一步分析出来会干啥吗？ddcc？？还是挖矿？我看那个木马下载地址是今年4月份注册的域名。 ...

你可以找个redhat系的动态调试，看看搞了啥，我懒得装centos了

作者: 1874 时间: 2023-5-2 16:23

fyfy010 发表于 2023-5-1 16:24
军哥？不会吧？

我的意思是还得是军哥的lnmp稳

作者: fyfy010 时间: 2023-5-2 16:56

1874 发表于 2023-5-2 16:23
我的意思是还得是军哥的lnmp稳

噢，那就好，毕竟我也用的军哥

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)