|
From
|
Elettrico <elettrico@ecn.org>
|
|
Date
|
Thu, 10 Nov 2005 00:57:36 +0100
|
|
Subject
|
Re: [Hackmeeting] backdoor
|
Marco Bertorello wrote:
> Ciao a tutti,
>
> ho trovato un file estremamente sospetto (/tmp/ownz), associato all'
> utente nobody.
>
> E' un file binario eseguibile e con strings s'č rivelato essere una
> backdoor, perņ non trovo informazioni su che tipo di backdoor sia e che
> cosa faccia (a parte spedire ad un indirizzo email il passwd[1]).
>
ne ho beccata una simile qualche tempo fa. il problema era dato da una
pagina php che conteneva una roba tipo
include($_REQUEST['page']);
per cui chiamando quella pagina cone ?page=http://.... veniva incluso
nella pagina stessa un file proveniente da qualsiasi webserver esterno.
questo null'altro era che un file contente codice php che apriva un loop
infinito facendo forkare apache e creando una pagina dove era possibile
navigare nel disco e, eventualmente, eseguire comandi arbitrari. non
molti a dire il vero e non troppo in giro visto che cmq il server non
l'avevo proprio installato da cani ma qualche accorgimento lo avevo preso.
_______________________________________________
Hackmeeting mailing list
Hackmeeting@inventati.org
https://www3.autistici.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}