5 янв. 2015 г.

Второй хакер на новом сервере results@hackermail.com

Второй хакер на новом сервере results@hackermail.com
Аваст называет его PHP:BackDoor-DJ [Trj]
Смог только залить псевдогифку в /tmp/ но уже не gzip, а просто PHP в виде гифки.
первый заливал сжатый PHP:Shell-HP [Trj]
И да, Ceterum censeo Lugansk esse delendam!

4 комментария:

tulvit комментирует...

А как проверяешь сервер? Аваст на локальной машинке запускается и сканирует файлы удаленного сервера по ssh/ftp? Что-то после твоих постов тоже мысли появились провериться на всякий случай.

F17 комментирует...

Авастом сервер не проверяю.
Уязвимость, точнее залитый мусор, обнаружил случайно в процессе настройки софта.
Аваст заблокировал страницу http://homelessinlugansk.blogspot.com/2015/01/blog-post.html с текстом шелла декодированного из того файла, пришлось удалить его из поста. Потому что даже http://www.hidemyass.com/proxy/ отказался показать пост http://homelessinlugansk.blogspot.com/2015/01/blog-post.html

Сейчас курю маны, например, http://habrahabr.ru/post/188878/
Угрюмо получается :(

Из проверялок щас буду тестировать Айболит, больной файл есть.

kikaha комментирует...

Сильно извиняюсь, а как пролез вообще хацкер? Руту заходить если запретил - неужели он твоего юзера угадал? Или через дырки в скриптах пролез?

F17 комментирует...

2 kikaha

Так они сервак не порутили, а только залили в /tmp/ своих ПХП-картинок. Залили через какую-то малоизвестную дыру в самом ПХП. Других следов их жизнедеятельности не обнаружено. Сейчас ставлю сети на будущее.