ボクのSSHハニーポットのログを見るとログインした後
wgetコマンドでダウンロードしたファイルが置いていかれていました。
wget先にブラウザでアクセスしてみるとファイル置き場になっていました。
それぞれをダウンロードし[file]コマンドで確認すると当たり前ですがLinuxバイナリのようです。
$ file ./*
./Linux2.4: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./Linux2.4_2: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./Linux2.6: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./Linux2.6_2: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./dd-wrt: ELF 32-bit MSB executable, MIPS, MIPS32 rel2 version 1 (SYSV), statically linked, stripped
./dd-wrt_2: ELF 32-bit MSB executable, MIPS, MIPS32 rel2 version 1 (SYSV), statically linked, stripped
./linux-arm: ELF 32-bit LSB executable, ARM, version 1 (GNU/Linux), statically linked, stripped
./linux-arm_2: ELF 32-bit LSB executable, ARM, version 1 (GNU/Linux), statically linked, stripped
./linux-mips: ELF 32-bit LSB executable, MIPS, MIPS32 rel2 version 1 (SYSV), statically linked, stripped
./linux-mips_2: ELF 32-bit LSB executable, MIPS, MIPS32 rel2 version 1 (SYSV), statically linked, stripped
それぞれのファイルを[VirusTotal]でスキャンした結果とハッシュ値は以下の通りです。
ファイル名(VT結果) | ハッシュ値(MD5 /SHA1) |
Linux2.4 | 574e475db2b5a904b358e2c1a1536fb2 845721f7cc7e3dc87da79d089c007c63c555e7f9 |
Linux2.4_2 | c16df0c510157e78b66d44663adc6ae0 0e8b6dcda8b05ca227fe728a659808058fe1cbf7 |
Linux2.6 | 33a157419a57def7ccb451809f82d935 330a06c3834d55552be72aaea2dbe2734d5afbd2 |
Linux2.6_2 | 0bfbbb2837b4b754f8a3a5a1e5454c6e 46395b49fddb9cf8ecd5900441c46eefa1c6faed |
dd-wrt | 7ee865e243393ab8279306b1a322e3f3 acdaba77bd907ecb1d5d12625c2c8de0e3995c9f |
dd-wrt_2 | 46b8ed7e8deba0a666897000c2ddc849 5c87eb4e8722746c7bfa1183c2286a5241d6b64e |
linux-ar | 2413b41ec014648c198f1255fabd8d16 e2a25a639224cde972d167b80fa29a9d1342a8dc |
linux-arm_2 | b5173030920796f5461a055c748f2f46 c439dc7f4681405564129a73fbd56cdd77a53e48 |
linux-mips | a29f39c5366b65ceadc3e77ca3cd5023 6b72196f9227c696c0e66a23427efe9af7646ae9 |
linux-mips_2 | 396e0c26ae1ffb914fa87211f8c9c102 a7cb86afa1b034da5641b149416322786d842a3d |
こちらの記事によると、それぞれのファイルは様々なアーキテクチャ別に用意された「Mr.Black」と呼ばれるマルウェアで
DDoSを行うためのボットネットを形成するために広められるもののようです。
また、過去にはデフォルトの認証情報を用いて侵入可能なルータに感染してた事例があったようです。