The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Эксплоит закачивающий .pl и его запускающий"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Эксплоит закачивающий .pl и его запускающий"  +/
Сообщение от Aplei email on 24-Фев-12, 00:26 
С некоторых пор начал обнаруживать у себя процессы запущенные perl'ом, которые маскируются под системные имена и грузящие проц до 100%, долго втыкал поймал файлик, загруженный в /tmp/bss.log который является perl-скриптом досящий наружний хост..

откопал в еррор-логе апача строчки:

--2012-02-23 18:39:22--  http://www.mexicocitypact.org/wp-content/uploads/bss.txt
Resolving www.mexicocitypact.org (www.mexicocitypact.org)... 184.106.55.51
Connecting to www.mexicocitypact.org (www.mexicocitypact.org)|184.106.55.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 26490 (26K) [text/plain]
Saving to: `/tmp/bss.log'

     0K .......... .......... .....                           100% 37.2K=0.7s

2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]

При этом если качаешь этот скрипт в винде, ативирус ругается и определяет его вирусом :)


как и через что может проползать эта гадость?
Как она его запускает?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Эксплоит закачивающий .pl и его запускающий"  +/
Сообщение от Aplei email on 24-Фев-12, 01:29 
>[оверквотинг удален]
> Saving to: `/tmp/bss.log'
>      0K .......... .......... .....    
>            
>            
>  100% 37.2K=0.7s
> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
> его вирусом :)
> как и через что может проползать эта гадость?
> Как она его запускает?

нашел, вопрос снят :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Эксплоит закачивающий .pl и его запускающий"  +/
Сообщение от pgs (??) on 24-Фев-12, 09:44 
>[оверквотинг удален]
>>      0K .......... .......... .....
>>
>>
>>  100% 37.2K=0.7s
>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>> его вирусом :)
>> как и через что может проползать эта гадость?
>> Как она его запускает?
> нашел, вопрос снят :)

http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен, на что антивирусник ругается:
обнаружено: троянская программа Backdoor.Perl.IRCBot.fx    файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Эксплоит закачивающий .pl и его запускающий"  +/
Сообщение от Aplei email on 24-Фев-12, 09:55 
>[оверквотинг удален]
>>>  100% 37.2K=0.7s
>>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>>> его вирусом :)
>>> как и через что может проползать эта гадость?
>>> Как она его запускает?
>> нашел, вопрос снят :)
> http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен,
> на что антивирусник ругается:
> обнаружено: троянская программа Backdoor.Perl.IRCBot.fx файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt

да это ссылка откуда шелл качает сам эксплоит, естественно он там доступен :)


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру