先ずはMayhemボットネットを発見した時にここで書きましたので、なお、本攻撃の情報(Wordpress経由)はここで書きました。 その↑2件を先に読んで頂ければ以下の情報をもっと理解が出来ると考えています。 下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。 wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。 マルウェアがインストールされたらマルウェアコントロールセンター(documents-live .com)にPOST HTTP/1.0のリクエストを送信