forum.opennet.ru - "Эксплоит закачивающий .pl и его запускающий" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Эксплоит закачивающий .pl и его запускающий"

Форум Информационная безопасность (Обнаружение и предотвращение атак / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Эксплоит закачивающий .pl и его запускающий"	+/–
Сообщение от Aplei on 24-Фев-12, 00:26
С некоторых пор начал обнаруживать у себя процессы запущенные perl'ом, которые маскируются под системные имена и грузящие проц до 100%, долго втыкал поймал файлик, загруженный в /tmp/bss.log который является perl-скриптом досящий наружний хост.. откопал в еррор-логе апача строчки: --2012-02-23 18:39:22-- http://www.mexicocitypact.org/wp-content/uploads/bss.txt Resolving www.mexicocitypact.org (www.mexicocitypact.org)... 184.106.55.51 Connecting to www.mexicocitypact.org (www.mexicocitypact.org)\|184.106.55.51\|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 26490 (26K) [text/plain] Saving to: `/tmp/bss.log' 0K .......... .......... ..... 100% 37.2K=0.7s 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490] При этом если качаешь этот скрипт в винде, ативирус ругается и определяет его вирусом :) как и через что может проползать эта гадость? Как она его запускает?
Ответить \| Правка \| Cообщить модератору

Оглавление

Эксплоит закачивающий .pl и его запускающий, Aplei, 01:29 , 24-Фев-12, (1)

Эксплоит закачивающий .pl и его запускающий, pgs, 09:44 , 24-Фев-12, (2)

Эксплоит закачивающий .pl и его запускающий, Aplei, 09:55 , 24-Фев-12, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Эксплоит закачивающий .pl и его запускающий" +/–

Сообщение от Aplei on 24-Фев-12, 01:29

>[оверквотинг удален]
> Saving to: `/tmp/bss.log'
>      0K .......... .......... .....
>
>
>  100% 37.2K=0.7s
> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
> его вирусом :)
> как и через что может проползать эта гадость?
> Как она его запускает?
нашел, вопрос снят :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Эксплоит закачивающий .pl и его запускающий" +/–

Сообщение от pgs (??) on 24-Фев-12, 09:44

>[оверквотинг удален]
>>      0K .......... .......... .....
>>
>>
>>  100% 37.2K=0.7s
>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>> его вирусом :)
>> как и через что может проползать эта гадость?
>> Как она его запускает?
> нашел, вопрос снят :)
http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен, на что антивирусник ругается:
обнаружено: троянская программа Backdoor.Perl.IRCBot.fx    файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Эксплоит закачивающий .pl и его запускающий" +/–

Сообщение от Aplei on 24-Фев-12, 09:55

>[оверквотинг удален]
>>>  100% 37.2K=0.7s
>>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490]
>>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет
>>> его вирусом :)
>>> как и через что может проползать эта гадость?
>>> Как она его запускает?
>> нашел, вопрос снят :)
> http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен,
> на что антивирусник ругается:
> обнаружено: троянская программа Backdoor.Perl.IRCBot.fx файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt
да это ссылка откуда шелл качает сам эксплоит, естественно он там доступен :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Эксплоит закачивающий .pl и его запускающий"	+/–
Сообщение от Aplei on 24-Фев-12, 01:29
>[оверквотинг удален] > Saving to: `/tmp/bss.log' > 0K .......... .......... ..... > > > 100% 37.2K=0.7s > 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490] > При этом если качаешь этот скрипт в винде, ативирус ругается и определяет > его вирусом :) > как и через что может проползать эта гадость? > Как она его запускает? нашел, вопрос снят :)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Эксплоит закачивающий .pl и его запускающий"	+/–
	Сообщение от pgs (??) on 24-Фев-12, 09:44
	>[оверквотинг удален] >> 0K .......... .......... ..... >> >> >> 100% 37.2K=0.7s >> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490] >> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет >> его вирусом :) >> как и через что может проползать эта гадость? >> Как она его запускает? > нашел, вопрос снят :) http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен, на что антивирусник ругается: обнаружено: троянская программа Backdoor.Perl.IRCBot.fx файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Эксплоит закачивающий .pl и его запускающий"	+/–
	Сообщение от Aplei on 24-Фев-12, 09:55
	>[оверквотинг удален] >>> 100% 37.2K=0.7s >>> 2012-02-23 18:39:23 (37.2 KB/s) - `/tmp/bss.log' saved [26490/26490] >>> При этом если качаешь этот скрипт в винде, ативирус ругается и определяет >>> его вирусом :) >>> как и через что может проползать эта гадость? >>> Как она его запускает? >> нашел, вопрос снят :) > http://www.mexicocitypact.org/wp-content/uploads/bss.txt у вас кстати до сих пор доступен, > на что антивирусник ругается: > обнаружено: троянская программа Backdoor.Perl.IRCBot.fx файл: http://www.mexicocitypact.org/wp-content/uploads/bss.txt да это ссылка откуда шелл качает сам эксплоит, естественно он там доступен :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору