{"id":285847,"date":"2017-05-03T16:42:08","date_gmt":"2017-05-03T12:42:08","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=285847"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=285847","title":{"rendered":"\u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e Linux\/Shishiga \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u043a\u0440\u0438\u043f\u0442\u044b Lua"},"content":{"rendered":"<p>\u0421\u0440\u0435\u0434\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u0432 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0434\u043b\u044f Linux, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c\u044b\u0445 \u0435\u0436\u0435\u0434\u043d\u0435\u0432\u043d\u043e, \u043c\u044b \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043b \u0442\u043e\u043b\u044c\u043a\u043e Dr.Web \u2013 \u043a\u0430\u043a Linux.LuaBot. \u0414\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0441\u0442\u0440\u0430\u043d\u043d\u043e, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043d\u0430\u0448\u0430 \u0447\u0430\u0441\u0442\u043e\u0442\u0430 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0439 \u043c\u0430\u043b\u0432\u0430\u0440\u0438 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 Luabot \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432\u044b\u0448\u0435. <\/p>\n<p>  \u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0432 \u0430\u043d\u0430\u043b\u0438\u0437, \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0430 \u043d\u0430 Lua \u0438 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043a \u043d\u043e\u0432\u043e\u043c\u0443 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0443, \u043d\u0435 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u043e\u043c\u0443 \u0441 \u0443\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c Luabot. \u041c\u0430\u043b\u0432\u0430\u0440\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 Linux\/Shishiga. \u041e\u043d\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0447\u0435\u0442\u044b\u0440\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 (SSH \u2013 Telnet \u2013 HTTP \u2013 BitTorrent) \u0438 Lua-\u0441\u043a\u0440\u0438\u043f\u0442\u044b.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/fc5\/25f\/838\/fc525f83814d4dedb74eb66d955cbb55.jpg\" alt=\"image\"\/><\/p>\n<p>  <a name=\"habracut\"><\/a><\/p>\n<h3>\u0421\u0440\u0435\u0434\u0430 \u043e\u0431\u0438\u0442\u0430\u043d\u0438\u044f Shishiga<\/h3>\n<p>  Linux\/Shishiga \u0430\u0442\u0430\u043a\u0443\u0435\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u044b GNU\/Linux. \u0412\u0435\u043a\u0442\u043e\u0440 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0442\u0438\u043f\u0438\u0447\u0435\u043d \u2013 \u0431\u0440\u0443\u0442\u0444\u043e\u0440\u0441 \u0441\u043b\u0430\u0431\u044b\u0445 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u0438\u0437 \u0441\u043f\u0438\u0441\u043a\u0430. \u041c\u0430\u043b\u0432\u0430\u0440\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u043a\u0430\u043a <a href=\"https:\/\/habrahabr.ru\/company\/eset\/blog\/259175\/\">Linux\/Moose<\/a>, \u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u0435\u0442 \u0431\u0440\u0443\u0442\u0444\u043e\u0440\u0441\u0438\u0442\u044c SSH. \u0412\u043e\u0442 \u043f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u043e\u0442\u0447\u0435\u0442\u0430:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/bf6\/a63\/569\/bf6a635691c4411282ecd9834fe448ba.png\" alt=\"image\"\/><\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/33f\/fa4\/7b4\/33ffa47b41d14acba893107df5a88fb8.png\" alt=\"image\"\/><\/p>\n<p>  \u041c\u044b \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 Linux\/Shishiga \u0434\u043b\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440, \u0432\u043a\u043b\u044e\u0447\u0430\u044f MIPS (\u043e\u0442 \u0441\u0442\u0430\u0440\u0448\u0435\u0433\u043e \u043a \u043c\u043b\u0430\u0434\u0448\u0435\u043c\u0443 \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442), ARM (armv4l), i686, \u0430 \u0442\u0430\u043a\u0436\u0435 PowerPC. \u041e\u043d\u0438 \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0432 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u0445 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u0435\u0449\u0435\u0439. \u041c\u044b \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043c\u043e\u0433\u0443\u0442 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u044b, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a SPARC, SH-4 \u0438\u043b\u0438 m68k, \u043d\u043e \u043e\u0431 \u044d\u0442\u043e\u043c \u043f\u043e\u0437\u0436\u0435.<\/p>\n<h3>\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 Shishiga<\/h3>\n<p>  Linux\/Shishiga \u2014 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <a href=\"https:\/\/upx.github.io\/\">UPX<\/a> 3.91 (\u0443\u043f\u0430\u043a\u043e\u0432\u0449\u0438\u043a \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432). \u041d\u043e \u0443 UPX \u0432\u043e\u0437\u043d\u0438\u043a\u043d\u0443\u0442 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0441 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u043a\u043e\u0439, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 Shishiga \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 \u043a\u043e\u043d\u0435\u0446 \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430.<\/p>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u043a\u0438 \u0444\u0430\u0439\u043b\u0430 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043e\u043d <a href=\"https:\/\/en.wikipedia.org\/wiki\/Static_library\">\u0441\u0442\u0430\u0442\u0438\u0447\u043d\u043e \u0441\u043a\u043e\u043c\u043f\u043e\u043d\u043e\u0432\u0430\u043d<\/a> \u0441 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u043e\u0439 \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c Lua, \u0430 \u043a\u043e\u0434 \u0443\u0434\u0430\u043b\u0435\u043d.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/887\/ffa\/d14\/887ffad147994d4baf9c6dcf7708ff1f.png\" alt=\"image\"\/><\/p>\n<p>  \u041f\u0440\u0438 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u043c\u043e\u0434\u0443\u043b\u044c \u043c\u0430\u043b\u0432\u0430\u0440\u0438 Lua \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c\u0438 \u043c\u0435\u0442\u043e\u0434\u0430\u043c\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/35c\/83c\/2d8\/35c83c2d88074d7ca831817c36cb424a.png\" alt=\"image\"\/><\/p>\n<p>  \u041c\u0435\u0442\u043e\u0434 getmods \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0430\u0440\u0445\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 blob, \u043e \u0447\u0435\u043c \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0435\u043c \u043f\u043e\u0437\u0436\u0435. \u0417\u0430\u0442\u0435\u043c \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 Lua (malware.lua) \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 luaL_loadstring \u0438 lua_pcall. \u041a\u043e\u0434 Lua \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e\u0439, \u0432\u043e\u0442 \u043a\u0440\u0430\u0442\u043a\u043e\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u0431\u0435\u0437 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u043e\u0442 \u043d\u0430\u0441.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/8d7\/5d8\/162\/8d75d8162fd645b3b7d57f313be10d42.png\" alt=\"image\"\/><br \/>  <b>(1)<\/b> \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0444\u0430\u0439\u043b exe-\u0444\u0430\u0439\u043b \u043c\u0430\u043b\u0432\u0430\u0440\u0438 \u0438\u0437 \/proc\/self\/exe \u0438 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435;<br \/>  <b>(2)<\/b> \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 \u0430\u0440\u0445\u0438\u0432 <a href=\"http:\/\/www.zlib.net\/\">zlib<\/a> \u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e\u043c \u043c\u0435\u0442\u043e\u0434\u0430 getmods, \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u044b\u0432\u0430\u0435\u0442, \u0430 \u0437\u0430\u0442\u0435\u043c \u043f\u0430\u0440\u0441\u0438\u0442 \u0435\u0433\u043e \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0442\u044d\u0433\u043e\u0432 \u0438 \u0445\u0440\u0430\u043d\u0438\u0442 \u0432 \u043c\u0430\u0441\u0441\u0438\u0432\u0435 Lua;<br \/>  <b>(3)<\/b> \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442 \u043c\u043e\u0434\u0443\u043b\u044c main.lua.<\/p>\n<p>  \u0415\u0441\u0442\u044c \u043e\u0431\u0448\u0438\u0440\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0432\u0441\u0435\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 Lua, \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0445 \u0432 \u0441\u0435\u043a\u0446\u0438\u0438 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0435\u0439 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438. \u0423 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0430 \u0438\u0437 \u043d\u0438\u0445 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u0433\u043e\u0432\u043e\u0440\u044f\u0442 \u0437\u0430 \u0441\u0435\u0431\u044f, \u043d\u043e \u043c\u044b \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u043a\u0440\u0430\u0442\u043a\u043e \u043e\u043f\u0438\u0448\u0435\u043c \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0437 \u043d\u0438\u0445.<\/p>\n<p>  <b>callhome.lua<\/b>  <\/p>\n<ul>\n<li>\u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0444\u0430\u0439\u043b \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 server.bt \u0438\u043b\u0438 servers \u0438\u0437 config.lua;<\/li>\n<li>\u043f\u0440\u0438 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0441\u0432\u044f\u0437\u0430\u0442\u044c\u0441\u044f \u0441 \u0442\u0435\u043a\u0443\u0449\u0438\u043c \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u043c \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c, \u043c\u0435\u043d\u044f\u0435\u0442 \u0435\u0433\u043e \u043d\u0430 \u0434\u0440\u0443\u0433\u043e\u0439;<\/li>\n<li>\u043f\u0435\u0440\u0435\u0441\u044b\u043b\u0430\u0435\u0442 \u0444\u0430\u0439\u043b\u044b (\u043e\u0442\u0447\u0435\u0442\u044b \u0438\u043b\u0438 \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u044b, \u043e\u0431\u0430 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 JSON);<\/li>\n<li>\u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0438 \u0438\u0437 \u0441\u043f\u0438\u0441\u043a\u0430 \u0437\u0430\u0434\u0430\u0447, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u043e\u0433\u043e \u0441 C&#038;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0430.<\/li>\n<\/ul>\n<p>  <b>bfssh.lua \/ bftelnet.lua<\/b>  <\/p>\n<ul>\n<li>\u043c\u043e\u0434\u0443\u043b\u044c \u0434\u043b\u044f \u0431\u0440\u0443\u0442\u0444\u043e\u0440\u0441\u0430 SSH- \u0438 Telnet-\u043b\u043e\u0433\u0438\u043d\u043e\u0432;<\/li>\n<li>\u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u0434\u0430\u0435\u0442 \u043b\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u0430 echo -en &quot;\\\\x31\\\\x33\\\\x33\\\\x37&quot; \u043d\u0430 \u0432\u044b\u0445\u043e\u0434\u0435 1337; \u0435\u0441\u043b\u0438 \u043d\u0435\u0442 \u2014 \u0432\u044b\u0439\u0442\u0438, \u0438\u043d\u0430\u0447\u0435 \u2014 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u044c;<\/li>\n<li>\u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u0444\u0430\u0439\u043b\u043e\u043c \u0438\u0437 \/bin\/ls \u0437\u0430\u043f\u0443\u0441\u043a\u043e\u043c cat \/bin\/ls \u0438 \u043f\u0430\u0440\u0441\u0438\u043d\u0433\u043e\u043c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 <a href=\"https:\/\/en.wikipedia.org\/wiki\/Executable_and_Linkable_Format\">ELF<\/a>, \u043e\u0431 \u044d\u0442\u043e\u043c \u043d\u0438\u0436\u0435;<\/li>\n<li>\u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u043c\u0430\u043b\u0432\u0430\u0440\u0438 (.lm \u0438 .dm \u0444\u0430\u0439\u043b\u043e\u0432) \u0441\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0435 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430;<\/li>\n<li>\u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u044b\u0445 \u043a\u043e\u043c\u0431\u0438\u043d\u0430\u0446\u0438\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432.<\/li>\n<\/ul>\n<p>  \u041a\u043e\u0434 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u044b \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:<\/p>\n<p>  bfssh.lua, \u043c\u0435\u0442\u043e\u0434 getArchELF<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/aee\/795\/30d\/aee79530dbcd4f07830b069f11b33b73.png\" alt=\"image\"\/><br \/>  <b>(1)<\/b> \u043a\u0430\u0436\u0434\u044b\u0439 \u0444\u0430\u0439\u043b ELF \u0434\u043e\u043b\u0436\u0435\u043d \u043d\u0430\u0447\u0438\u043d\u0430\u0442\u044c\u0441\u044f \u0441 \\x7fELF;<br \/>  <b>(2)<\/b> ftype, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 e_type (\u0442\u0438\u043f \u0444\u0430\u0439\u043b\u0430 ELF = \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u043c\u044b\u0439, \u0440\u0430\u0441\u0448\u0430\u0440\u0438\u0432\u0430\u0435\u043c\u044b\u0439, \u0438\u0442\u0434.) \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f;<br \/>  <b>(3)<\/b> bits \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 e_ident[EI_CLASS] (32 \u0438\u043b\u0438 64 \u0431\u0438\u0442\u0430), denc \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 e_ident[EI_DATA] (\u043e\u0442 \u0441\u0442\u0430\u0440\u0448\u0435\u0433\u043e \u043a \u043c\u043b\u0430\u0434\u0448\u0435\u043c\u0443, \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442), \u0438 farch \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 e_machine \u0432 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0435 ELF.<\/p>\n<p>  bfssh.lua, \u043c\u0435\u0442\u043e\u0434 getArchName<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/ed3\/a4d\/aee\/ed3a4daee9004444a3408352b1b52655.png\" alt=\"image\"\/><br \/>  <b>(1)<\/b> bits \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f<br \/>  <b>(2)<\/b> \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043f\u0440\u0438\u043d\u0430\u0434\u043b\u0435\u0436\u043d\u043e\u0441\u0442\u044c \u0444\u0430\u0439\u043b\u0430 \u043a MIPS (\u043e\u0442 \u043c\u043b\u0430\u0434\u0448\u0435\u0433\u043e) (e_machine == EM_MIPS \u0438 e_ident[EI_DATA] == ELFDATA2LSB)<br \/>  <b>(3)<\/b> \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043f\u0440\u0438\u043d\u0430\u0434\u043b\u0435\u0436\u043d\u043e\u0441\u0442\u044c \u0444\u0430\u0439\u043b\u0430 Intel 80386 \u0438\u043b\u0438 Intel 80860 \u0438\u043b\u0438 AMD x86-64 (e_machine == EM_386 \u0438\u043b\u0438 e_machine == EM_860 \u0438\u043b\u0438 e_machine == EM_X86_64)<\/p>\n<p>  <b>config.lua<\/b>  <\/p>\n<ul>\n<li>\u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0439 \u043a\u043b\u044e\u0447 publicKey \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u043e\u0434\u043f\u0438\u0441\u0438 \u0431\u0438\u043d\u0430\u0440\u043d\u0438\u043a\u0430 (.lm \u0438\u043b\u0438 .dm);<\/li>\n<li>\u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430;<\/li>\n<li>\u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u043c\u0435\u043d\u0430 .bt \u0444\u0430\u0439\u043b\u043e\u0432, \u043d\u043e\u043c\u0435\u0440\u0430 \u043f\u043e\u0440\u0442\u043e\u0432 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 SOCKS \u0438 HTTP;<\/li>\n<li>\u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 (\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0421&#038;C).<\/li>\n<\/ul>\n<p>  <b>persist.lua<\/b>  <\/p>\n<ul>\n<li>\u043c\u0435\u0442\u043e\u0434 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f, \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u043f\u0440\u0430\u0432 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f (\u0440\u0443\u0442 \u0438\u043b\u0438 \u044e\u0437\u0435\u0440)<\/li>\n<\/ul>\n<p>  <b>scanner.lua<\/b>  <\/p>\n<ul>\n<li>\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u044b\u0445 \/ 16 \u0441\u0435\u0442\u0435\u0439, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u043c\u0438 <\/li>\n<\/ul>\n<p>  <b>worm.lua<\/b> (\u044d\u0442\u043e\u0442 \u0441\u043a\u0440\u0438\u043f\u0442 \u0443\u0431\u0440\u0430\u043b\u0438 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0439 \u0432\u0435\u0440\u0441\u0438\u0438 Linux\/Shishiga)  <\/p>\n<ul>\n<li>\u0440\u0430\u0437\u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u043e\u0440\u0442\u0430;<\/li>\n<li>\u0440\u0430\u0437\u0440\u0435\u0448\u0430\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443;<\/li>\n<li>\u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0441 \u043d\u043e\u0432\u043e\u0433\u043e \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u0430.<\/li>\n<\/ul>\n<p>  \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 readme.lua \u043e\u0446\u0435\u043d\u044f\u0442 \u0440\u0443\u0441\u0441\u043a\u043e\u0433\u043e\u0432\u043e\u0440\u044f\u0449\u0438\u0435:<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/e84\/e4d\/21d\/e84e4d21dbb3414a86e8a8a45f0a6903.png\" alt=\"image\"\/><\/p>\n<p>  \u0412 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043d\u0435\u0434\u0435\u043b\u044c \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f: \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u043b\u043e\u043a\u0438 \u0431\u044b\u043b\u0438 \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u0430\u043d\u044b, \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u044b \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0435 \u0431\u043b\u043e\u043a\u0438, \u0443\u0434\u0430\u043b\u0435\u043d\u044b \u043d\u0435\u043d\u0443\u0436\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u043d\u043e \u0432 \u0446\u0435\u043b\u043e\u043c \u043d\u0438\u0447\u0435\u0433\u043e \u043f\u0440\u0438\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e.<\/p>\n<p>  \u041e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f .lm, \u043d\u043e \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u0441\u043c\u043e\u0433\u043b\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c .dm \u2013 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0431\u044d\u043a\u0434\u043e\u0440, \u043f\u0440\u043e\u0441\u043b\u0443\u0448\u0438\u0432\u0430\u044e\u0449\u0438\u0439 0.0.0.0 (\u0432\u0441\u0435 IPv4 \u0430\u0434\u0440\u0435\u0441\u0430) \u043f\u043e\u0440\u0442\u0430 2015. \u0418\u0437\u043c\u0435\u043d\u0438\u043b\u043e\u0441\u044c \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u2013 \u0441 dl \u043d\u0430 dm.<\/p>\n<h3>\u041a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438 Shishiga<\/h3>\n<p>  Linux\/Shishiga \u043c\u043e\u0436\u0435\u0442 \u043e\u0431\u043c\u0435\u043d\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043b\u044e\u0431\u043e\u0433\u043e \u0438\u0437 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 httpproto.lua, btloader.lua \u0438\u043b\u0438 server.lua. \u041c\u043e\u0434\u0443\u043b\u044c httpproto.lua \u0438\u043c\u0435\u0435\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u0438, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0438 \u0434\u0435\u043b\u0430\u0442\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u044b HTTP POST \u0438 GET. \u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043d\u0438\u0436\u0435 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n<p>  httpproto.lua<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/060\/63f\/f11\/06063ff11a444964a451aa9e274bccdf.png\" alt=\"image\"\/><\/p>\n<p>  btloader.lua \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043c\u043e\u0434\u0443\u043b\u044c torrent.lua (\u0432\u0440\u0430\u043f\u043f\u0435\u0440 \u0434\u043b\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0439 BitTorrent) \u0434\u043b\u044f \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0443\u0437\u043b\u043e\u0432 \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 nodes.cfg. \u041e\u043d \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0435\u0433\u043e \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e \u0438\u0437 \u0444\u0430\u0439\u043b\u043e\u0432 {server,update,script}.bt (\u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 <a href=\"https:\/\/en.wikipedia.org\/wiki\/Bencode\">Bencode<\/a>) \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b BitTorrent \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439 \u044d\u0442\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432. script.bt \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0441\u043a\u0440\u0438\u043f\u0442 Lua, \u0430 update.bt \u0440\u0430\u0437\u0440\u0435\u0448\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0431\u0438\u043d\u0430\u0440\u043d\u0438\u043a\u0430 .lm. \u041d\u0438\u0436\u0435 \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 .bt, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0445 \u0432 \u0432\u0438\u0434\u0435 \u0441\u043b\u043e\u0432\u0430\u0440\u0435\u0439 Python.<\/p>\n<p>  script.bt<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/f93\/3af\/119\/f933af11936d48a0b5d3b696a72460e9.png\" alt=\"image\"\/><br \/>  <b>(1)<\/b> \u043f\u043e\u0434\u043f\u0438\u0441\u044c<br \/>  <b>(2)<\/b> \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0439 \u043a\u043b\u044e\u0447<\/p>\n<p>  update.bt<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/eca\/96a\/aeb\/eca96aaebb2241e49b7610b11d6342d3.png\" alt=\"image\"\/><\/p>\n<p>  server.bt<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/938\/708\/834\/938708834d824d249afc26cb5642b0b9.png\" alt=\"image\"\/><\/p>\n<p>  \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u043e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u043c\u043e\u0434\u0443\u043b\u044f server.lua \u2014 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 HTTP \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0441 \u043f\u043e\u0440\u0442\u043e\u043c, \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u043c \u0432 config.lua. \u0412\u043e \u0432\u0441\u0435\u0445 \u043e\u0431\u0440\u0430\u0437\u0446\u0430\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0438\u0437\u0443\u0447\u0438\u043b\u0438, \u044d\u0442\u043e \u0431\u044b\u043b \u043f\u043e\u0440\u0442 8888.<\/p>\n<p>  \u0421\u0435\u0440\u0432\u0435\u0440 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u0437\u0430\u043f\u0440\u043e\u0441\u044b \/info \u0438 \/upload. \u041d\u0438\u0436\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u0430 \u00ab\u043f\u0440\u0438\u0447\u0435\u0441\u0430\u043d\u043d\u0430\u044f\u00bb \u0432\u0435\u0440\u0441\u0438\u044f \u043e\u0442\u0432\u0435\u0442\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u043a \u043f\u0443\u0442\u0438 \/info. \u0412\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u043d\u0438\u0436\u0435 \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043b\u0435\u0433\u043a\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u044b \u0441 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/c6c\/8a8\/bf8\/c6c8a8bf8f014ff9a13bf382061f84ef.png\" alt=\"image\"\/><br \/>  <b>(1)<\/b> \u0441\u043a\u0440\u0438\u043f\u0442\u044b Lua<br \/>  <b>(2)<\/b> \u0431\u044d\u043a\u0434\u043e\u0440 (\u0441\u0442\u0430\u0440\u043e\u0435 \u0438\u043c\u044f: .dl)<br \/>  <b>(3)<\/b> \u0441\u043a\u0440\u0438\u043f\u0442\u044b BitTorrent<br \/>  <b>(4)<\/b> \u0432\u0435\u0440\u0441\u0438\u044f \u043c\u0430\u043b\u0432\u0430\u0440\u0438<br \/>  <b>(5)<\/b> \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u043c\u043e\u0434\u0443\u043b\u0435\u0439<\/p>\n<p>  \u0417\u0430\u043f\u0440\u043e\u0441 \u0432 \u0440\u0443\u0442 \/ \u043f\u043e \u043f\u043e\u0440\u0442\u0443 8888 \u0432 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0434\u0430\u0441\u0442 HTTP\/1.0 404 OK, \u0447\u0442\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0441\u0442\u044b\u043c \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0435\u043c \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 (IoC).<\/p>\n<p>  \u0424\u0443\u043d\u043a\u0446\u0438\u044f \u043e\u0442\u0432\u0435\u0442\u0430 http.lua<br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/212\/316\/037\/2123160373e04d85aa76e3e2dd9e2553.png\" alt=\"image\"\/><\/p>\n<p>  \u041d\u0430 \u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043c\u044b \u043f\u043e\u043f\u0440\u043e\u0441\u0438\u043b\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 <a href=\"https:\/\/censys.io\/\">Censys<\/a> \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u043c\u0430\u0441\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u043f\u043e TCP-\u043f\u043e\u0440\u0442\u0443 8888. \u041e\u043d\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043e\u043a\u043e\u043b\u043e \u0434\u0435\u0441\u044f\u0442\u0438 IP-\u0430\u0434\u0440\u0435\u0441\u043e\u0432, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u043b \u043e\u0442\u0432\u0435\u0442 HTTP. \u042d\u0442\u0438 \u0430\u0434\u0440\u0435\u0441\u0430 \u043f\u0440\u0438\u043d\u0430\u0434\u043b\u0435\u0436\u0430\u0442 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u043d\u044b\u043c \u043c\u0430\u0448\u0438\u043d\u0430\u043c. <\/p>\n<h3>\u0412\u044b\u0432\u043e\u0434<\/h3>\n<p>  \u041d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u0432\u0437\u0433\u043b\u044f\u0434, Linux\/Shishiga \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f \u043f\u043e\u0445\u043e\u0436\u0435\u0439 \u043d\u0430 \u0434\u0440\u0443\u0433\u0438\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u0441\u043b\u0430\u0431\u043e\u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u044b\u0435 Telnet \u0438 SSH, \u043d\u043e \u0435\u0435 \u0432\u044b\u0434\u0435\u043b\u044f\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 BitTorrent \u0438 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 Lua. BitTorrent \u0432 \u0447\u0435\u0440\u0432\u0435 <a href=\"https:\/\/security.rapiditynetworks.com\/publications\/2016-10-16\/hajime.pdf\">Hajime<\/a>, \u0432\u0434\u043e\u0445\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u043e\u043c Mirai, \u0431\u044b\u043b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c \u0433\u043e\u0434\u0443, \u0438 \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0442\u044c, \u0441\u0442\u0430\u043d\u0435\u0442 \u043b\u0438 \u043e\u043d \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0435\u0435 \u0432 \u0431\u0443\u0434\u0443\u0449\u0435\u043c.<\/p>\n<p>  \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0447\u0442\u043e Shishiga \u044d\u0432\u043e\u043b\u044e\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u0435\u0442 \u0438 \u0431\u0443\u0434\u0435\u0442 \u0431\u043e\u043b\u0435\u0435 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u043d\u043e\u0439. \u041f\u043e\u043a\u0430 \u043d\u0435\u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u0447\u0438\u0441\u043b\u043e \u0436\u0435\u0440\u0442\u0432, \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438 \u0432 \u043a\u043e\u0434\u0435 \u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e \u0431\u0430\u0433\u043e\u0432 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442, \u0447\u0442\u043e \u0440\u0430\u0431\u043e\u0442\u0430 \u043d\u0430\u0434 \u043c\u0430\u043b\u0432\u0430\u0440\u044c\u044e \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435. \u0427\u0442\u043e\u0431\u044b \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u0435 \u0432\u0430\u0448\u0438\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043c\u0430\u043b\u0432\u0430\u0440\u044c\u044e Shishiga \u0438 \u043f\u043e\u0445\u043e\u0436\u0438\u043c\u0438 \u0447\u0435\u0440\u0432\u044f\u043c\u0438, \u043d\u0435 \u0441\u0442\u043e\u0438\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 Telnet \u0438 SSH.<\/p>\n<p>  \u0411\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u0438\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u0443 Censys \u0437\u0430 \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u0447\u0435\u0441\u0442\u0432\u043e.<\/p>\n<h3>\u0418\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044f (IoC)<\/h3>\n<p>  <b>\u041a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440<\/b><br \/>  93.117.137.35<\/p>\n<p>  <b>SHA-1 (.lm)<\/b><br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/8bf\/9e0\/6ec\/8bf9e06ecc37493ca36395e905fa352d.png\" alt=\"image\"\/><\/p>\n<p>  <b>SHA-1 (.dl)<\/b><br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/a53\/cec\/17f\/a53cec17f0574ba7aec77ec9c349183a.png\" alt=\"image\"\/><\/p>\n<p>  <b>\u0418\u043c\u0435\u043d\u0430 \u0444\u0430\u0439\u043b\u043e\u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 Lua<\/b><br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/7ac\/845\/ea5\/7ac845ea5e4e4171a4abffc7e12e04c4.png\" alt=\"image\"\/><\/p>\n<p>  <b>\u0424\u0430\u0439\u043b\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043c\u043e\u0433\u0443\u0442 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043d\u0430 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u0435<\/b><br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/703\/1d1\/ed4\/7031d1ed4f674d898a0e99677a909c93.png\" alt=\"image\"\/><\/p>\n<p>  <i>\u041d\u0430\u043f\u043e\u043c\u0438\u043d\u0430\u0435\u043c \u043f\u0440\u043e 50%-\u043d\u0443\u044e \u0441\u043a\u0438\u0434\u043a\u0443 \u043f\u0440\u0438 \u043c\u0438\u0433\u0440\u0430\u0446\u0438\u0438 \u043d\u0430 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f <a href=\"https:\/\/www.esetnod32.ru\/buy\/actions\/business\/50-mgnoveniy-vesny-\/?utm_source=habrahabr&amp;utm_medium=article_23_03_2017&amp;utm_content=from&amp;utm_campaign=habrahabr\">ESET NOD32<\/a> \u0441 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u0439.<\/i><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habrahabr.ru\/post\/327824\/\"> https:\/\/habrahabr.ru\/post\/327824\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0421\u0440\u0435\u0434\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u0432 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0434\u043b\u044f Linux, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c\u044b\u0445 \u0435\u0436\u0435\u0434\u043d\u0435\u0432\u043d\u043e, \u043c\u044b \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043b \u0442\u043e\u043b\u044c\u043a\u043e Dr.Web \u2013 \u043a\u0430\u043a Linux.LuaBot. \u0414\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0441\u0442\u0440\u0430\u043d\u043d\u043e, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043d\u0430\u0448\u0430 \u0447\u0430\u0441\u0442\u043e\u0442\u0430 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0439 \u043c\u0430\u043b\u0432\u0430\u0440\u0438 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 Luabot \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432\u044b\u0448\u0435. <\/p>\n<p>  \u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0432 \u0430\u043d\u0430\u043b\u0438\u0437, \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0430 \u043d\u0430 Lua \u0438 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043a \u043d\u043e\u0432\u043e\u043c\u0443 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0443, \u043d\u0435 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u043e\u043c\u0443 \u0441 \u0443\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c Luabot. \u041c\u0430\u043b\u0432\u0430\u0440\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 Linux\/Shishiga. \u041e\u043d\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0447\u0435\u0442\u044b\u0440\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 (SSH \u2013 Telnet \u2013 HTTP \u2013 BitTorrent) \u0438 Lua-\u0441\u043a\u0440\u0438\u043f\u0442\u044b.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/files\/fc5\/25f\/838\/fc525f83814d4dedb74eb66d955cbb55.jpg\" alt=\"image\"\/><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-285847","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/285847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=285847"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/285847\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=285847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=285847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=285847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}