Второй хакер на новом сервере results@hackermail.com
Аваст называет его PHP:BackDoor-DJ [Trj]
Смог только залить псевдогифку в /tmp/ но уже не gzip, а просто PHP в виде гифки.
первый заливал сжатый PHP:Shell-HP [Trj]
И да, Ceterum censeo Lugansk esse delendam!
5 янв. 2015 г.
Второй хакер на новом сервере results@hackermail.com
Подписаться на:
Комментарии к сообщению (Atom)
4 комментария:
А как проверяешь сервер? Аваст на локальной машинке запускается и сканирует файлы удаленного сервера по ssh/ftp? Что-то после твоих постов тоже мысли появились провериться на всякий случай.
Авастом сервер не проверяю.
Уязвимость, точнее залитый мусор, обнаружил случайно в процессе настройки софта.
Аваст заблокировал страницу http://homelessinlugansk.blogspot.com/2015/01/blog-post.html с текстом шелла декодированного из того файла, пришлось удалить его из поста. Потому что даже http://www.hidemyass.com/proxy/ отказался показать пост http://homelessinlugansk.blogspot.com/2015/01/blog-post.html
Сейчас курю маны, например, http://habrahabr.ru/post/188878/
Угрюмо получается :(
Из проверялок щас буду тестировать Айболит, больной файл есть.
Сильно извиняюсь, а как пролез вообще хацкер? Руту заходить если запретил - неужели он твоего юзера угадал? Или через дырки в скриптах пролез?
2 kikaha
Так они сервак не порутили, а только залили в /tmp/ своих ПХП-картинок. Залили через какую-то малоизвестную дыру в самом ПХП. Других следов их жизнедеятельности не обнаружено. Сейчас ставлю сети на будущее.
Отправить комментарий