Net-Worm.PHP.Mongikoは何をしようとしていますか？

このウイルスアラートは詐欺です。目的は、実際のウイルスである特別な「削除ツール」を管理者にダウンロードして実行させることです。

Webサイトの動作とアクセスログの表示に関する別の注意事項：基本的にすべてのWebサイトにアクセスして、?cmd=foo&key=barなどの任意のパラメーターを追加できます。Webサイトはパラメーターをロードして無視します。この疑わしいログエントリは、何も意味しない場合があります。

システムを監視して、実際に何か怪しいことをしていないかどうかを確認します。たとえば、疑わしいパラメータを含むすべてのHTTPトラフィックをログに記録します。

宣伝されている削除ツール（コメントにリンクがあります-インストールしないでください）はファイアウォールを開き、攻撃者がマシンをリモートコントロールできるようにします。

詳細については、この freebsd-securityメーリングリストの投稿 に続くスレッドもご覧になることをお勧めします。

Freddybが言ったように、これは詐欺のようです。私はウイルスの「削除ツール」を調べました。これには、バックグラウンドに分岐し、udevdに名前を変更し、95.215.44.195：443に接続する実行可能ファイルが含まれています（そのサーバーはatmがダウンしているようです）、文字列_FOG\n\n#_を送信し、サーバーにリバースシェルを（ソケットをdup() ingしてfds 0,1,2に）シェルを実行します。これは、サーバーが任意のコードを実行できることを意味しますお使いのコンピュータ）。それが合法的なマルウェア除去ツールである方法はありません。

以前にインストールされたプログラムと通信しようとしているようです。 （cmd=infoから）、インストールが完了したかどうかを確認しようとしていると思います。 ip=1.2.3.4（あなたのIPは匿名化されていると思います）は、別のIPからトラフィックが戻ってきた場合に備えて、どのIPと通信しようとしているのかを伝えています。

それはおそらく何もない、ほんの少しのマルウェアのためのスキャナーです。サーバーが肯定的に応答しない限り、問題ありません。

このIPアドレスは現在、TORブラウザーのi2pを介して表示されています。誰かが匿名ネットワークを使用してサーバーから何らかの情報を取得しており、おそらくそこに他のコマンドを送信するためのコードも含まれています。