8080系
最近改ざんコードが大幅に変わったらしいです。いろいろと姑息な制御がされているらしく、検体の入手が難しいのです。
で、まあ芸の無い方法だけど、密壺から手に入れた検体を使ってインスタントなSnort Ruleを書いてみました。
alert tcp any any -> $HOME_NET any (msg:"Possible 8080 script download "; content:"|2e 73 72 63 20 3d 20 27 68 74 74 70 3a 2f 2f|" ; content:"|2b 27 3a 27 2b 27 38 30 38 30 2f 69 6e 64 65 78 2e 70 68 70 3f|"; sid:210936; rev:0;)
まだ半日くらいしか動かしてないけど、今のところ良い具合に検知できてますな。って検知されてちゃ困るんだけどもな。