The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Или взлом или как?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Или взлом или как?"
Сообщение от Pilot emailИскать по авторуВ закладки on 26-Ноя-02, 10:09  (MSK)
(Продолжение темы)
---------------------
https://www.opennet.ru/openforum/vsluhforumID10/256.html#5

>IMHO это от IIS дырка.
>Для апача не страшно.
-----------------------
Очень даже страшно.

Вот пример, находим в /tmp 2 файлика
gzed.1038240882 и исполняемый mcextSLbykd
у первого права 644 у втрого 700, хозяин обоих root, время создания-вчера, одинаковое.
Если открываем первый в консоли-информации немного, но есть.
Выде ли бы Вы, какое было у меня удивление, когда я попытался открыть
его их конквера!
Появилась папка sslwrap и внутри еще 5 файликов на С, с мейкфайлом
-apps.h
-e_os.h
-s_apps.h
-s_cb.c
-s_server.c
-s_socket.c

Ну а второй вот что внутри имеет
---------------------
#!/bin/sh
I=`date +%s`; export I; gzip -cd mclocalcopyYvzFod >/tmp/gzed.$I && vi /tmp/gzed.$I && gzip -c /tmp/gzed.$I > mclocalcopyYvzFod; rm -f /tmp/gzed.$I
/bin/rm -f /tmp/mcextSLbykd
----------------

Господа от Unix, что вы скажете? Вьезд на белом коне через http? Или червь или что? Если ошибаюсь-плиз поправьте. Если да то, как бороться?
Какие функции может выполнять эта байда на моей машине?
Причем там же в html (под gzed...) файле находим упоминание о  sslwrap.
Спасибо
PS Вчера убирал-сегодня ванька встанька уже опять тут.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Или взлом или как?"
Сообщение от Pilot emailИскать по авторуВ закладки on 26-Ноя-02, 10:47  (MSK)
Добавлю, платформа LINUX и последний Апач.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Или взлом или как?"
Сообщение от uldus Искать по авторуВ закладки on 26-Ноя-02, 15:42  (MSK)
>Добавлю, платформа LINUX и последний Апач.

openssl какой ? Если openssl и mod_ssl не пофикшеной версии, то червь пролез через них. Если используешь не последний bind 8.x или 4.x, то вероятно для них уже червь написали.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Или взлом или как?"
Сообщение от Pilot emailИскать по авторуВ закладки on 26-Ноя-02, 15:46  (MSK)

openssl-0.9.6b-28asp

так все таки это червь?
А его функции?
Обновление пакета openssl поможет?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Или взлом или как?"
Сообщение от uldus Искать по авторуВ закладки on 27-Ноя-02, 12:38  (MSK)
>openssl-0.9.6b-28asp
>
>так все таки это червь?

Да это червь, проявляется для OpenSSL меньше чем 0.9.6e. Срочно апгрейдь до последней версии OpenSSL.

>Обновление пакета openssl поможет?

Да.


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру