lechu_b
16-08-2006, 01:09
Witam ze względu na brak działu o bezpieczeństwie zamieszczam post tutaj.
Objawy: Brak strony www - wyświetla się tylko białe tło nawet w źródle strony nie ma tagów
Diagnoza: na serwerze pojawiły się pliki php o różnych nazwach (najczęściej myserver.php, server.php, xdews.php) pliki te zawierają coś w rodzaju exploida napisanym w php po pobieżnej analizie (skrypt ma ponad 6000lini kodu) przedstawię jego możliwości:
plik znany jest w światku jako c99shell.php
wskazuje na witrynę http://ccteam.ru (http://ccteam.ru/)
interfejs skryptu można obejrzeć pod linkiem http://64.233.183.104/search?q=cache:PUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd =1&lr=lang_pl&client=firefox-a (http://64.233.183.104/search?q=cache:PUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd=1&lr=lang_pl&client=firefox-a)
skrypt próbuje przejąć kontrolę nad maszyną (windowsową lub *nix) po czym przesyła ważne informacje takie jak:
100 lini z pliku z hasłami systemowymi
robi zrzuty baz danych serwera mysql i wysyła na ccteam.ru
przeszukuje dyski i listuje w poszukiwaniu plików zawierających w nazwie config
przeszukuje i listuje pliki .htpasswd, .fetchmailrc itp.
ma naprawdę potężny arsenał możliwości, nie wszystkie jego funkcje uruchamiają się poprawnie więc (chociaż nie jest wymierzony w joomla) zrobił mi na serwerze www nast. spustoszenia:
wymazał zawartość plików (rozmiar pliku 0 kb) index.php, index2.php, globals.php, mainbody.php
uszkodzona baza danych (być może po dumpingu bazy miał ją skasować ale poszło coś nie tak)
po instalował swoje kopie na wszystkich witrynach www w ramach mojego konta hostingowego
Jeszcze nie rozmawiałem z adminami bo problem odkryłem ok. godz. 21.00 natomiast piszę posta o godz. 1:00 w nocy więc admini śpią:). Jak tylko uda mi się ustalić jakieś nowe fakty to dam znać na forum.
jeżeli ktoś chciałby otrzymać plik ze źródłem pliku to proszę dać znać
Objawy: Brak strony www - wyświetla się tylko białe tło nawet w źródle strony nie ma tagów
Diagnoza: na serwerze pojawiły się pliki php o różnych nazwach (najczęściej myserver.php, server.php, xdews.php) pliki te zawierają coś w rodzaju exploida napisanym w php po pobieżnej analizie (skrypt ma ponad 6000lini kodu) przedstawię jego możliwości:
plik znany jest w światku jako c99shell.php
wskazuje na witrynę http://ccteam.ru (http://ccteam.ru/)
interfejs skryptu można obejrzeć pod linkiem http://64.233.183.104/search?q=cache:PUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd =1&lr=lang_pl&client=firefox-a (http://64.233.183.104/search?q=cache:PUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd=1&lr=lang_pl&client=firefox-a)
skrypt próbuje przejąć kontrolę nad maszyną (windowsową lub *nix) po czym przesyła ważne informacje takie jak:
100 lini z pliku z hasłami systemowymi
robi zrzuty baz danych serwera mysql i wysyła na ccteam.ru
przeszukuje dyski i listuje w poszukiwaniu plików zawierających w nazwie config
przeszukuje i listuje pliki .htpasswd, .fetchmailrc itp.
ma naprawdę potężny arsenał możliwości, nie wszystkie jego funkcje uruchamiają się poprawnie więc (chociaż nie jest wymierzony w joomla) zrobił mi na serwerze www nast. spustoszenia:
wymazał zawartość plików (rozmiar pliku 0 kb) index.php, index2.php, globals.php, mainbody.php
uszkodzona baza danych (być może po dumpingu bazy miał ją skasować ale poszło coś nie tak)
po instalował swoje kopie na wszystkich witrynach www w ramach mojego konta hostingowego
Jeszcze nie rozmawiałem z adminami bo problem odkryłem ok. godz. 21.00 natomiast piszę posta o godz. 1:00 w nocy więc admini śpią:). Jak tylko uda mi się ustalić jakieś nowe fakty to dam znać na forum.
jeżeli ktoś chciałby otrzymać plik ze źródłem pliku to proszę dać znać