Witam ze względu na brak działu o bezpieczeństwie zamieszczam post tutaj.
Objawy: Brak strony www - wyświetla się tylko białe tło nawet w źródle strony nie ma tagów
Diagnoza: na serwerze pojawiły się pliki php o różnych nazwach (najczęściej myserver.php, server.php, xdews.php) pliki te zawierają coś w rodzaju exploida napisanym w php po pobieżnej analizie (skrypt ma ponad 6000lini kodu) przedstawię jego możliwości:
- plik znany jest w światku jako c99shell.php
- wskazuje na witrynę http://ccteam.ru
- interfejs skryptu można obejrzeć pod linkiem http://64.233.183.104/search?q=cache
UdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd =1&lr=lang_pl&client=firefox-a - skrypt próbuje przejąć kontrolę nad maszyną (windowsową lub *nix) po czym przesyła ważne informacje takie jak:
100 lini z pliku z hasłami systemowymi
robi zrzuty baz danych serwera mysql i wysyła na ccteam.ru
przeszukuje dyski i listuje w poszukiwaniu plików zawierających w nazwie config
przeszukuje i listuje pliki .htpasswd, .fetchmailrc itp.
ma naprawdę potężny arsenał możliwości, nie wszystkie jego funkcje uruchamiają się poprawnie więc (chociaż nie jest wymierzony w joomla) zrobił mi na serwerze www nast. spustoszenia:
wymazał zawartość plików (rozmiar pliku 0 kb) index.php, index2.php, globals.php, mainbody.php
uszkodzona baza danych (być może po dumpingu bazy miał ją skasować ale poszło coś nie tak)
po instalował swoje kopie na wszystkich witrynach www w ramach mojego konta hostingowego
Jeszcze nie rozmawiałem z adminami bo problem odkryłem ok. godz. 21.00 natomiast piszę posta o godz. 1:00 w nocy więc admini śpią
. Jak tylko uda mi się ustalić jakieś nowe fakty to dam znać na forum.
jeżeli ktoś chciałby otrzymać plik ze źródłem pliku to proszę dać znać
Atak nie tylko na Joomlę
Cytuj