URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5000
[ Назад ]

Исходное сообщение
"Эксплоит закачивающий .pl и его запускающий"
Отправлено Aplei , 24-Фев-12 00:26

С некоторых пор начал обнаруживать у себя процессы запущенные perl'ом, которые маскируются под системные имена и грузящие проц до 100%, долго втыкал поймал файлик, загруженный в /tmp/bss.log который является perl-скриптом досящий наружний хост..
откопал в еррор-логе апача строчки:
--2012-02-23 18:39:22-- http://www.mexicocitypact.org/wp-content/uploads/bss.txt
Resolving www.mexicocitypact.org (www.mexicocitypact.org)... 184.106.55.51
Connecting to www.mexicocitypact.org (www.mexicocitypact.org)|184.106.55.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 26490 (26K) [text/plain]
Saving to: `/tmp/bss.log'
0K .......... .......... ..... 100% 37.2K=0.7s
2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
При этом если качаешь этот скрипт в винде, ативирус ругается и определяет его вирусом :)

как и через что может проползать эта гадость?
Как она его запускает?

Содержание

Эксплоит закачивающий .pl и его запускающий,Aplei, 01:29 , 24-Фев-12
- Эксплоит закачивающий .pl и его запускающий,pgs, 09:44 , 24-Фев-12
  - Эксплоит закачивающий .pl и его запускающий,Aplei, 09:55 , 24-Фев-12

Сообщения в этом обсуждении

"Эксплоит закачивающий .pl и его запускающий"
Отправлено Aplei , 24-Фев-12 01:29

>[оверквотинг удален]
> Saving to: `/tmp/bss.log'
>      0K .......... .......... .....
>
>
>  100% 37.2K=0.7s
> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
> его вирусом :)
> как и через что может проползать эта гадость?
> Как она его запускает?
нашел, вопрос снят :)

"Эксплоит закачивающий .pl и его запускающий"
Отправлено pgs , 24-Фев-12 09:44

>[оверквотинг удален]
>>      0K .......... .......... .....
>>
>>
>>  100% 37.2K=0.7s
>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>> его вирусом :)
>> как и через что может проползать эта гадость?
>> Как она его запускает?
> нашел, вопрос снят :)
http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен, на что антивирусник ругается:
обнаружено: троянская программа Backdoor.Perl.IRCBot.fx    файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt

"Эксплоит закачивающий .pl и его запускающий"
Отправлено Aplei , 24-Фев-12 09:55

>[оверквотинг удален]
>>> 100% 37.2K=0.7s
>>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>>> его вирусом :)
>>> как и через что может проползать эта гадость?
>>> Как она его запускает?
>> нашел, вопрос снят :)
> http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен,
> на что антивирусник ругается:
> обнаружено: троянская программа Backdoor.Perl.IRCBot.fx файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt
да это ссылка откуда шелл качает сам эксплоит, естественно он там доступен :)