oneinstack脚本木马程序样本（简单流程）附件打包

Syc · 发表于 2023-5-1 15:48:48

本帖最后由 Syc 于 2023-5-1 16:06 编辑

简单流程：
0. 执行 ./load linux@QWE
1. 程序会检查是否RedHat，目前只针对RedHat系列，debian/ubuntu系列不执行后续
2. 下载 s.jpg 并释放到 /var/crond/ 目录，释放文件 cr.jpg 和 install可执行
3. 执行 ./install 释放 cr.jpg 到 cr目录，文件：ba、cr、snc、libaudit.so.2，并注册服务
4. 后面就是日常操作，取得控制权，成为rbq.

样本文件：
（24hour限制100次下载，希望有mjj可以分流一下）
https://wormhole.app/yx1QM#RpsHRoUxuREtxzW0tW6Xtg
解压密码：www.php.wf

Snipaste_2023-05-01_15-48-30.png (7.3 KB, 下载次数: 4)

5ean · 发表于 2023-5-1 16:19:28

https://www.123pan.com/s/YRbZVv-VxPX.html
帮你传到123pan了

rem · 发表于 2023-5-1 15:51:16

感谢分享

iwil · 发表于 2023-5-1 15:55:39

啥意思？是oneinstack还是oninstack？

Syc · 发表于 2023-5-1 16:06:48

iwil 发表于 2023-5-1 15:55
啥意思？是oneinstack还是oninstack？

oneinstack 标题错误已修正

1874 · 发表于 2023-5-1 16:08:11

早期用过这玩意，没想到啊，还是lnmp军哥

DushuAPP · 发表于 2023-5-1 16:08:33

不懂是什么先下载。

CJ大牛赚美元 · 发表于 2023-5-1 16:14:12

提示: 作者被禁止或删除内容自动屏蔽

fyfy010 · 发表于 2023-5-1 16:24:26

1874 发表于 2023-5-1 16:08
早期用过这玩意，没想到啊，还是lnmp军哥

军哥？

不会吧？

SK_ · 发表于 2023-5-1 16:29:54

有进一步分析出来会干啥吗？ddcc？？还是挖矿？我看那个木马下载地址是今年4月份注册的域名。

用户名		自动登录	找回密码
密码			注册

CJ大牛赚美元 CJ大牛赚美元当前离线积分 2968	发表于 2023-5-1 16:14:12 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
CJ大牛赚美元 CJ大牛赚美元当前离线积分 2968
	回复支持反对举报

[不限流量] oneinstack脚本木马程序样本（简单流程）附件打包