¿Qué intenta hacer Net-Worm.PHP.Mongiko?

11

Encontré varias líneas de esta solicitud en mi registro de acceso al servidor web:

Source IP       Dest IP Request                                                                 Stat User agent
217.172.190.19  1.2.3.4 POST /?cmd=info&key=a7aa3875fc4422ca78f7b4216205b9a5&ip=1.2.3.4 HTTP/1.1 200 Net-Worm.PHP.Mongiko.a

Intenté con Google, pero no encontré información. ¿Qué es Net-Worm.PHP.Mongiko y qué intenta publicar en mi sitio web?

    
pregunta user68857 22.02.2015 - 11:23
fuente

4 respuestas

4

Esta alerta de virus es una estafa. El objetivo es lograr que los administradores descarguen y ejecuten "herramientas de eliminación" especiales, que en realidad son el virus real.

Otra nota sobre cómo funcionan los sitios web y lo que se ve en el registro de acceso: Básicamente, puede ir a todos los sitios web y agregar parámetros arbitrarios como ?cmd=foo&key=bar y el sitio web solo cargará e ignorará el parámetro. ¡Esta entrada de registro sospechosa puede no significar nada en absoluto!

Supervise su sistema de cerca para ver si realmente está haciendo algo sospechoso. Por ejemplo, al registrar todo el tráfico HTTP que contiene parámetros sospechosos.

La herramienta de eliminación según lo anunciado (Hay un enlace en los comentarios, no instalar), abrirá su firewall y permitirá que un atacante controle su máquina de forma remota.

Le recomiendo que también vea el hilo después de este freebsd-security mailing list post , si quieres saber más.

    
respondido por el freddyb 25.02.2015 - 21:50
fuente
3

Como dijo Freddyb, esto parece ser una estafa. Miré la "herramienta de eliminación" para el virus: contiene un ejecutable que se desentraña en segundo plano, se renombra a udevd , se conecta a 95.215.44.195:443 (ese servidor parece estar a la baja), envía la cadena FOG\n\n# y le da al servidor un shell inverso (mediante dup() ing. el socket a fds 0,1,2, luego ejecuta el shell - esto significa que el servidor puede ejecutar código arbitrario en su computadora). No hay forma de que sea una herramienta de eliminación de malware legítima.

    
respondido por el thejh 25.02.2015 - 22:29
fuente
1

Parece que está intentando comunicarse con un programa instalado previamente. Supongo (de cmd=info ) que está intentando ver si se completó la instalación. ip=1.2.3.4 (que supongo que es su IP anonimizada) le dice a qué IP está intentando hablar, en caso de que el tráfico vuelva de otra IP.

Probablemente no sea nada, solo un escáner para un poco de malware. Mientras tu servidor no responda positivamente, estás bien.

    
respondido por el Bill Weiss 22.02.2015 - 15:46
fuente
0

Esta dirección IP se muestra actualmente a través de i2p en el navegador TOR. Alguien está utilizando una red anónima para obtener algún tipo de información de su servidor, y probablemente también tenga un código para enviarle otros comandos.

    
respondido por el merc 23.02.2015 - 01:51
fuente

Lea otras preguntas en las etiquetas