je viens de croiser une machine IIS compromise, et qui héberge dans
/scripts/ une copie de cmd.exe nommée superlol.exe.
J'ai cherché sur Google, et j'ai pas trouvé grand chose. Connaissez-vous
un outil générant ce type de comportement (si oui lequel), cela fait-il
partie d'un root-kit connu (install d'un FTP/VNC), etc.
FYI, le port 65005 est bindé, avec une bannière "étonnante" :
220-Hybernation Stro Server v666 for WinSock ready...
220-
220-
220- HACKED BY ANONYMOUS
220-
220- ¸,.»¬=椺²°``°²º¤æ=¬«.,¸_¸,.»¬=椺²°`°²º¤æ=¬«.,¸
220-
220- Your IP XX.YY.ZZ
220- You're logged in as ?????
220- Users Logged In Now 1 user/s of max 20
220- Users Logged In Last 24H 6 user/s
220- Total Users Logged In 3959 user/s
Alors, ça vous parle ?
(non, la question n'est pas "sont-ils rentrés via Unicode ?" :)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pierre BETOUIN
220- Your IP XX.YY.ZZ 220- You're logged in as ????? 220- Users Logged In Now 1 user/s of max 20 220- Users Logged In Last 24H 6 user/s 220- Total Users Logged In 3959 user/s
Alors, ça vous parle ? (non, la question n'est pas "sont-ils rentrés via Unicode ?" :) Oui, à priori une machine compromise pour du warez...
Regarde bien sur tes HDs, tu devrais trouver bcp de choses ! Ct.
Pierre -- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
°°°°°°°°°----------------°°°°°°°°°
220- Your IP XX.YY.ZZ 220- You're
logged in as ????? 220- Users Logged In Now 1
user/s of max 20 220- Users Logged In Last 24H 6 user/s 220-
Total Users Logged In 3959 user/s
Alors, ça vous parle ?
(non, la question n'est pas "sont-ils rentrés via Unicode ?" :)
Oui, à priori une machine compromise pour du warez...
Regarde bien sur tes HDs, tu devrais trouver bcp de choses !
Ct.
Pierre
--
°°°°°°°°°----------------°°°°°°°°°
Pierre BETOUIN
soulrider@unsigned.ath.cx
°°°°°°°°°----------------°°°°°°°°°
220- Your IP XX.YY.ZZ 220- You're logged in as ????? 220- Users Logged In Now 1 user/s of max 20 220- Users Logged In Last 24H 6 user/s 220- Total Users Logged In 3959 user/s
Alors, ça vous parle ? (non, la question n'est pas "sont-ils rentrés via Unicode ?" :) Oui, à priori une machine compromise pour du warez...
Regarde bien sur tes HDs, tu devrais trouver bcp de choses ! Ct.
Pierre -- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN