> как будто у него не найдется 32битного ld.so?А кто знает? Я даже его систему не знаю: х64 бинарник почищен. Видимо не совсем нуб. Но с кроссами похоже лажа. Хотел x86 позырить, в надежде что с -m32 нативом собрали и забыли стрипеуть, но толи слишком успешно идет и опач ниасилил, толи снесли, толи намек про "утюг" поняли, в общем скачать не удалось. По коду пусть аверы гадают, они бабки получают.
И это, у меня вон того нет. Зачем оно в 64-бит системе? Чтобы запускать малварь? :))
> почем, говорите, нонче idapro ? ;-)
А хрен знает, зачем оно мне теперь? Кст, сорец mirai на гитхабе был, а может и есть, врядли сильно отличается. Я так понимаю, "инновацией" вместо бинарных лоадеров этот шелл. Он же и "CnC питекантропа" похоже. Бинари, как я понимаю, периодически перекачивают и запускают это же "трололо". Оно выносит старого и качает нового. Наверное так и получает инструкции. Не буду я его дизасмить - прикидка по строкам из блобов, 75% что угадал.
> или руки из жопы. Судя по iptables таки да.
Да на самом деле у многих этих штук FS наглухо RO (в сквош писать еще никто не научился) а изменения в RAM висят и оно один хрен до ребута живет. Так что отвоевать взад роутер в 90% случаев можно отцепив сеть (на случай если активно летает) и ребутнув роутер. Ну он и испарится, вместе с правилами айпитаблеса.
> оно их в консоль выдаст.
А ее там все-равно читать некому. Может пытались что-то изобразить но не доделали?
> Ну или в cron в который оно себя пихает в пяти экземплярах. Сомневаюсь что
> к нему в гуанороутере приделан mta, поэтому результат уедет в /dev/null
Оно вообще какое-то странное. Может отлаживали на х86 и большом компе а потом кой-как обкромсали под бизибокс и мелочь, откуда и странная хрень?
> файла битый, то ли есть гуанороутер у которого есть такая команда
> и это не тот iptables-save что у всех.
Возможно. Я все роутеры и их систему конфигурации не знаю. А может просто забытые останки какого-то эксперимента. В оригинале этого шелскрипта вроде не было, походу "инновация".
>> А так малварина пытается обзывать себя nginx :D. И судя по строкам
> а как надо было?
Ну, нжинкс на хомякомыльнице все же довольно необычно.
> thttpd, наверное?
Да можно просто httpd. Ты там что, сорец mirai скачал? Не советую, АНБ, ФСБ и прочие моссады с ми6 в очередь за головой встанут, а с такой технологией кулхацкер не долго ныкаться сможет, имхо и имеет все шансы быть отловленым. Даже сильно поддосить не успеет пожалуй. Так то "anna senpai" попался вроде. Хоть и попортил крови Кребсу, которого послала клаудфларь, которая типа защита, но типа иди-ка ты, Кребс, с гигабитами которые на тебя льют.