後門程式 Linux/Mumblehard

我在 /var/spool/cron/apache 發現裡面被放了後門程式

* /15 * * * * /var/tmp/SWakZsRJ > /dev/null 2>&1

它就是最近新聞提到的在 FreeBSD 上的寄垃圾信件程式，perl 包成 ELF 檔案，它的活動也已存在多年了

它在我這邊沒有效用，因為我 /tmp 有設定 noexec，所以無法被執行

而且我玩了一下它，但似乎 在 CentOS 上無法 work 吧，沒什麼動作，可能真得需要為 FreeBSD 系統吧

封包也只有這樣子

12:03:31.312208 IP 10.10.10.137.40576 > 163.81.54.194.static.server.ua.http: Flags [S], seq 1684999090, win 14600, options [mss 1460,sackOK,TS val 2827315391 ecr 0,nop,wscale 7], length 0
12:03:31.634882 IP 163.81.54.194.static.server.ua.http > 10.10.10.137.40576: Flags [R.], seq 0, ack 1684999091, win 0, length 0     

IP 確實如同 惡意軟件Linux/Mumblehard分析 提到 194.54.xx 的範圍

上傳到 virustotal 也確實是病毒了