Re: [Hackmeeting] backdoor

Nachricht löschen

Nachricht beantworten
Autor: Elettrico
Datum:  
To: hackmeeting
Betreff: Re: [Hackmeeting] backdoor
Marco Bertorello wrote:
> Ciao a tutti,
>
> ho trovato un file estremamente sospetto (/tmp/ownz), associato all'
> utente nobody.
>
> E' un file binario eseguibile e con strings s'è rivelato essere una
> backdoor, però non trovo informazioni su che tipo di backdoor sia e che
> cosa faccia (a parte spedire ad un indirizzo email il passwd[1]).
>


ne ho beccata una simile qualche tempo fa. il problema era dato da una
pagina php che conteneva una roba tipo

include($_REQUEST['page']);

per cui chiamando quella pagina cone ?page=http://.... veniva incluso
nella pagina stessa un file proveniente da qualsiasi webserver esterno.
questo null'altro era che un file contente codice php che apriva un loop
infinito facendo forkare apache e creando una pagina dove era possibile
navigare nel disco e, eventualmente, eseguire comandi arbitrari. non
molti a dire il vero e non troppo in giro visto che cmq il server non
l'avevo proprio installato da cani ma qualche accorgimento lo avevo preso.