URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5000
[ Назад ]

Исходное сообщение
"Эксплоит закачивающий .pl и его запускающий"

Отправлено Aplei , 24-Фев-12 00:26 
С некоторых пор начал обнаруживать у себя процессы запущенные perl'ом, которые маскируются под системные имена и грузящие проц до 100%, долго втыкал поймал файлик, загруженный в /tmp/bss.log который является perl-скриптом досящий наружний хост..

откопал в еррор-логе апача строчки:

--2012-02-23 18:39:22--  http://www.mexicocitypact.org/wp-content/uploads/bss.txt
Resolving www.mexicocitypact.org (www.mexicocitypact.org)... 184.106.55.51
Connecting to www.mexicocitypact.org (www.mexicocitypact.org)|184.106.55.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 26490 (26K) [text/plain]
Saving to: `/tmp/bss.log'

     0K .......... .......... .....                           100% 37.2K=0.7s

2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]

При этом если качаешь этот скрипт в винде, ативирус ругается и определяет его вирусом :)


как и через что может проползать эта гадость?
Как она его запускает?


Содержание

Сообщения в этом обсуждении
"Эксплоит закачивающий .pl и его запускающий"
Отправлено Aplei , 24-Фев-12 01:29 
>[оверквотинг удален]
> Saving to: `/tmp/bss.log'
>      0K .......... .......... .....    
>            
>            
>  100% 37.2K=0.7s
> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
> его вирусом :)
> как и через что может проползать эта гадость?
> Как она его запускает?

нашел, вопрос снят :)


"Эксплоит закачивающий .pl и его запускающий"
Отправлено pgs , 24-Фев-12 09:44 
>[оверквотинг удален]
>>      0K .......... .......... .....
>>
>>
>>  100% 37.2K=0.7s
>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>> его вирусом :)
>> как и через что может проползать эта гадость?
>> Как она его запускает?
> нашел, вопрос снят :)

http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен, на что антивирусник ругается:
обнаружено: троянская программа Backdoor.Perl.IRCBot.fx    файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt



"Эксплоит закачивающий .pl и его запускающий"
Отправлено Aplei , 24-Фев-12 09:55 
>[оверквотинг удален]
>>>  100% 37.2K=0.7s
>>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>>> его вирусом :)
>>> как и через что может проползать эта гадость?
>>> Как она его запускает?
>> нашел, вопрос снят :)
> http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен,
> на что антивирусник ругается:
> обнаружено: троянская программа Backdoor.Perl.IRCBot.fx файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt

да это ссылка откуда шелл качает сам эксплоит, естественно он там доступен :)