il y a eu une intrusion , en fait un simple fichier ecrit en perl de 1ko a permis de modifier les pages à la volée
10 minutes avant l'attaque, des telechargements de fichier ont été effectué depuis le serveur , l'ensemble des fichiers a été placé dans le repertoire /tmp
ces fichier font tous 950ko et portent des noms du genre cd.8 cd.1 , en tout il y en a plus de 100 !
ces fichiers ont été téléchargé depuis schwang-equestrian.co.uk depuis ce repertoire :
http://schwang-equestrian.co.uk/cd
si je ne me trompe pas , pour avoir accé au repertoire /tmp , il faut obligatoirement avoir un accé en ssh ou ftp à la machine non ?
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Bon,
j'ai analysé mon error_log
il y a eu une intrusion , en fait un simple fichier ecrit en perl de 1ko a
permis de modifier les pages à la volée
10 minutes avant l'attaque, des telechargements de fichier ont été effectué
depuis le serveur , l'ensemble des fichiers a été placé dans le repertoire
/tmp
ces fichier font tous 950ko et portent des noms du genre cd.8 cd.1 , en tout
il y en a plus de 100 !
ces fichiers ont été téléchargé depuis schwang-equestrian.co.uk depuis ce
repertoire :
http://schwang-equestrian.co.uk/cd
si je ne me trompe pas , pour avoir accé au repertoire /tmp , il faut
obligatoirement avoir un accé en ssh ou ftp à la machine non ?
--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
il y a eu une intrusion , en fait un simple fichier ecrit en perl de 1ko a permis de modifier les pages à la volée
10 minutes avant l'attaque, des telechargements de fichier ont été effectué depuis le serveur , l'ensemble des fichiers a été placé dans le repertoire /tmp
ces fichier font tous 950ko et portent des noms du genre cd.8 cd.1 , en tout il y en a plus de 100 !
ces fichiers ont été téléchargé depuis schwang-equestrian.co.uk depuis ce repertoire :
http://schwang-equestrian.co.uk/cd
si je ne me trompe pas , pour avoir accé au repertoire /tmp , il faut obligatoirement avoir un accé en ssh ou ftp à la machine non ?
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher
Le Tue, 30 Nov 2004 16:36:22 +0000, Xaero a écrit :
ces fichiers ont été téléchargé depuis schwang-equestrian.co.uk depuis ce repertoire : http://schwang-equestrian.co.uk/cd
si je ne me trompe pas , pour avoir accé au repertoire /tmp , il faut obligatoirement avoir un accé en ssh ou ftp à la machine non ?
Même pas. Si on arrive à prendre le contrôle d'un process, on peut le faire à travers lui.
-- BOFH excuse #4:
static from nylon underwear
Xaero
Cedric Blancher wrote:
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins, c'est clean et ton mot de passe ne passe pas en clair.
en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut installer qqe chose ? j'ai deja utilisé la commande ftp mais uniquement pour me connecter à des serveurs ftp distant , je vois pas bien comment transferer les fichiers de mon dur vers mon ftp en passant par ssh :/
de meme pour le port 80, 110,22 etc ... , si je les ferme , impossible d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non ?
Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais ce qui est à ton usage propre, je le fermerais à l'extérieur et les contacterait via une redirection de port SSH :
ssh -L 1110:127.0.0.1:110 ton_serveur
Te permet de contacter ton serveur, sur son interface de loopback, port 110 via le lien SSH lorsque tu te connectes à ton port local 1110. Donc pas de POP qui traîne en clair sur le réseau. Certains clients de messagerie (Evolution, Mutt, etc.) permettent de se s'autoconfigurer comme ça.
donc en fait à la place du port 110 , j'utilise le port 1110 , et ça marche avec oe ;) ?
en fait , c'est un peu un avertissement cette intrusion , je realise en consultant le script pl utilisé pour le defacage que la personne aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
S'il a pris le compte root, c'est clair.
( j'ai changé le mot de pass root au cas où , j'ai mis des données numerique , l'ancien n'en comportais pas )
en fait je ne sais pas , j'ai chopé le script perl utilisé pour le defacage , je vais mettre le code ici :
$old = $flist; $index = $old.'_'; $index =~ s/^.*///; foreach (1..10) { $index .= $chars[rand @chars]; } $new = "$tmpfolder/$index"; open (in, "<$old") or die "cannot open for read file: $old n"; open (out, ">$new") or die "cannot open for write file: $new n";
$inserted = 0; while (<in>) { if ($_ =~ /</BODY>/i) { print out $ins."n" if ($inserted == 0); $inserted = 1; } print out $_; } print out $ins."n" if ($inserted == 0);
close out; close in;
system("mv", $new, $old) if ($unix == 1); rename($new,$old) if ($unix == 0); } }
je suis pas expert en perl , mais d'aprés ce que je vois , le mec se sert du fait quele dossier tmp soit en 777 pour creer des copies temporaires des fichiers à defacer , il modifie ensuite ces fichiers depuis le dossier temporaire (777) et fait un mv vers les repertoires de destinations , du coup en theorie , il n'a pas besoin d'avoir les droits root pour faire ça ..
ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs , sinon pourquoi s'embetter , il aurait pu modifier directement les fichiers sources sans passer par des copies dans le repertoire tmp , non ?
n'empeche , c'est du beau boulot.
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car le repertoire tmp a clairement joué un role dans l'attaque.
Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait, les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les autres ont crée. En outre, une utilisation consciencieuse de /tmp génère des fichiers et répertoires aux droit plus restreints (0700 ou 0600 selon le cas). Mais de toute manière, si le gars est root, tes droits ne servent plus trop à grand chose...
oui en fait le dossier etait bien en 1777 ( petit oubli de ma part ) ...
finalement la question principale est : comment le script en perl a atteri dans le repertoire tmp, un wget sans doute , ( au fait j'ai consulté le error_log et les transfers des fichiers sont dedans , donc peut on suposer que le wget a eu lieu par le biais d'apache ? )
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher wrote:
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins,
c'est clean et ton mot de passe ne passe pas en clair.
en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut
installer qqe chose ?
j'ai deja utilisé la commande ftp mais uniquement pour me connecter à des
serveurs ftp distant , je vois pas bien comment transferer les fichiers de
mon dur vers mon ftp en passant par ssh :/
de meme pour le port 80, 110,22 etc ... , si je les ferme ,
impossible d'avoir un accé aux services en ecoute sur ses ports
depuis l'exterieur non ?
Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais
ce qui est à ton usage propre, je le fermerais à l'extérieur et les
contacterait via une redirection de port SSH :
ssh -L 1110:127.0.0.1:110 ton_serveur
Te permet de contacter ton serveur, sur son interface de loopback,
port 110 via le lien SSH lorsque tu te connectes à ton port local
1110. Donc pas de POP qui traîne en clair sur le réseau. Certains
clients de messagerie (Evolution, Mutt, etc.) permettent de se
s'autoconfigurer comme ça.
donc en fait à la place du port 110 , j'utilise le port 1110 , et ça marche
avec oe ;) ?
en fait , c'est un peu un avertissement cette intrusion , je realise
en consultant le script pl utilisé pour le defacage que la personne
aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout
mettre à jour ...
S'il a pris le compte root, c'est clair.
( j'ai changé le mot de pass root au cas où , j'ai mis des données numerique
, l'ancien n'en comportais pas )
en fait je ne sais pas , j'ai chopé le script perl utilisé pour le defacage
, je vais mettre le code ici :
$old = $flist;
$index = $old.'_';
$index =~ s/^.*///;
foreach (1..10) { $index .= $chars[rand @chars]; }
$new = "$tmpfolder/$index";
open (in, "<$old") or die "cannot open for read file: $old n";
open (out, ">$new") or die "cannot open for write file: $new n";
$inserted = 0;
while (<in>) {
if ($_ =~ /</BODY>/i) {
print out $ins."n" if ($inserted == 0);
$inserted = 1;
}
print out $_;
}
print out $ins."n" if ($inserted == 0);
close out;
close in;
system("mv", $new, $old) if ($unix == 1);
rename($new,$old) if ($unix == 0);
}
}
je suis pas expert en perl , mais d'aprés ce que je vois , le mec se sert du
fait quele dossier tmp soit en 777 pour creer des copies temporaires des
fichiers à defacer , il modifie ensuite ces fichiers depuis le dossier
temporaire (777) et fait un mv vers les repertoires de destinations , du
coup en theorie , il n'a pas besoin d'avoir les droits root pour faire ça ..
ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs , sinon
pourquoi s'embetter , il aurait pu modifier directement les fichiers sources
sans passer par des copies dans le repertoire tmp , non ?
n'empeche , c'est du beau boulot.
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien
trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans
qu'il y ai necessairement un chmod en 777 , y aurai t'il une
solution à ce niveau car le repertoire tmp a clairement joué un role
dans l'attaque.
Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir
lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait,
les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les
autres ont crée. En outre, une utilisation consciencieuse de /tmp
génère des fichiers et répertoires aux droit plus restreints (0700 ou
0600 selon le cas). Mais de toute manière, si le gars est root, tes
droits ne servent plus trop à grand chose...
oui en fait le dossier etait bien en 1777 ( petit oubli de ma part ) ...
finalement la question principale est : comment le script en perl a atteri
dans le repertoire tmp, un wget sans doute , ( au fait j'ai consulté le
error_log et les transfers des fichiers sont dedans , donc peut on suposer
que le wget a eu lieu par le biais d'apache ? )
--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
mais si je forme le port21 , comment accepter à mon ftp par exemple ?
Tu peux utiliser sftp qui fourni en standard avec OpenSSH. Au moins, c'est clean et ton mot de passe ne passe pas en clair.
en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut installer qqe chose ? j'ai deja utilisé la commande ftp mais uniquement pour me connecter à des serveurs ftp distant , je vois pas bien comment transferer les fichiers de mon dur vers mon ftp en passant par ssh :/
de meme pour le port 80, 110,22 etc ... , si je les ferme , impossible d'avoir un accé aux services en ecoute sur ses ports depuis l'exterieur non ?
Tout ce qui est service publics, oui, tu dois les avoir ouvert. Mais ce qui est à ton usage propre, je le fermerais à l'extérieur et les contacterait via une redirection de port SSH :
ssh -L 1110:127.0.0.1:110 ton_serveur
Te permet de contacter ton serveur, sur son interface de loopback, port 110 via le lien SSH lorsque tu te connectes à ton port local 1110. Donc pas de POP qui traîne en clair sur le réseau. Certains clients de messagerie (Evolution, Mutt, etc.) permettent de se s'autoconfigurer comme ça.
donc en fait à la place du port 110 , j'utilise le port 1110 , et ça marche avec oe ;) ?
en fait , c'est un peu un avertissement cette intrusion , je realise en consultant le script pl utilisé pour le defacage que la personne aurait pu tout effacer .. bref , si j'ai bien compris , je dois tout mettre à jour ...
S'il a pris le compte root, c'est clair.
( j'ai changé le mot de pass root au cas où , j'ai mis des données numerique , l'ancien n'en comportais pas )
en fait je ne sais pas , j'ai chopé le script perl utilisé pour le defacage , je vais mettre le code ici :
$old = $flist; $index = $old.'_'; $index =~ s/^.*///; foreach (1..10) { $index .= $chars[rand @chars]; } $new = "$tmpfolder/$index"; open (in, "<$old") or die "cannot open for read file: $old n"; open (out, ">$new") or die "cannot open for write file: $new n";
$inserted = 0; while (<in>) { if ($_ =~ /</BODY>/i) { print out $ins."n" if ($inserted == 0); $inserted = 1; } print out $_; } print out $ins."n" if ($inserted == 0);
close out; close in;
system("mv", $new, $old) if ($unix == 1); rename($new,$old) if ($unix == 0); } }
je suis pas expert en perl , mais d'aprés ce que je vois , le mec se sert du fait quele dossier tmp soit en 777 pour creer des copies temporaires des fichiers à defacer , il modifie ensuite ces fichiers depuis le dossier temporaire (777) et fait un mv vers les repertoires de destinations , du coup en theorie , il n'a pas besoin d'avoir les droits root pour faire ça ..
ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs , sinon pourquoi s'embetter , il aurait pu modifier directement les fichiers sources sans passer par des copies dans le repertoire tmp , non ?
n'empeche , c'est du beau boulot.
cependant , le /tmp/ en 777 m'inquiete un peu , j'aimerais bien trouver un moyen pour qu'apache et mysql puisse ecrire dedans sans qu'il y ai necessairement un chmod en 777 , y aurai t'il une solution à ce niveau car le repertoire tmp a clairement joué un role dans l'attaque.
Le /tmp est _forcément en 777, puisque tout le monde doit pouvoir lire et écrire dedans. Par contre, tu as loupé le sticky bit. En fait, les droits sont 1777, ce qui empêche d'écrire sur les fichiers que les autres ont crée. En outre, une utilisation consciencieuse de /tmp génère des fichiers et répertoires aux droit plus restreints (0700 ou 0600 selon le cas). Mais de toute manière, si le gars est root, tes droits ne servent plus trop à grand chose...
oui en fait le dossier etait bien en 1777 ( petit oubli de ma part ) ...
finalement la question principale est : comment le script en perl a atteri dans le repertoire tmp, un wget sans doute , ( au fait j'ai consulté le error_log et les transfers des fichiers sont dedans , donc peut on suposer que le wget a eu lieu par le biais d'apache ? )
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Xaero
Cedric Blancher wrote:
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal. erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns
, j'ai pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui, s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour qu'on puisse faire une requête DNS sur l'IP. c'est ça un enregistrement inverse (reverse DNS). Tu dois lui demander de le mettre en place.
ils vont pas me faire payer ?
ok , c'est vrai qu'il faudrait que je mette à jour :(
Bah ouais...
j'ai mis à jour phpbb en attendant ...
bizarrement , les logs sont tres etrange , on dirait que la personne avait directement accé au serveur , cette personne a balancé ses wget sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le premier wget est apparu comme ça à 23h47. petite question : est ce qu'une commande wget balancée en ssh avec accé root se retrouve dans le error_log ?
Ton mec a réussi à chopper un shell root sur ta machine, c'est un fait. La question est de savoir comment. Donc tu dois regarder tes logs sur les heures précédents ces premières traces.
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Si le mec est passé par ton phpBB, Apache n'y verra rien à redire.
ok
Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre qui contiennent un appel de system() par exemple) et des binaires qui ne sont clairement pas à toi ("nc" par exemple).
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre , les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque depuis un site web anglais qui vends des produits d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
Je ne peux pas
prédire ce qui a été fait, mais le fait d'uploader un binaire et un script PHP pour le lancer est classique.
vi.
Regarde aussi du côté des connexions SSH (auth.log), il y a des attaques par dictionnaire qui tournent en ce moment. Si ton mot de passe root est un peu faible, ou qu'un compte classique avec mot de passe faible ou par défaut est présent, il est peut-être passé par là.
oui j'ai souvent des petites attaques en ssh , mais souvent des choses assez faibles ( du genre user toto pass toto ) donc je n'y ai pas prété attention ... j'aurais peut etre du ...
Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès shell à ta machine, le pas à faire pour passer root n'est plus très fort, surtout si ton kernel n'est pas à jour (nombreux local root via le kernel sous Linux).
ok.
http://www.xaero-method.com/info Surtout vu la configuration que ça affiche... je le concede :/
C'est un grand classique.
surtout que dans le fichier perl , la variable unix=1 donc le mec s'est bien renseigné avant et n'a pas réglé son script pour windows , enfin j'ai viré le fichier ;)
merci pour ces contributions , j'y vois deja un peu plus clair ;)
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher wrote:
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de
reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu,
c'est maaaal.
erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns
, j'ai pataugé et j'ai un peu laché l'affaire , à la base m'occuper
d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait
comme j'ai pu :/
Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui,
s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour
qu'on puisse faire une requête DNS sur l'IP. c'est ça un
enregistrement inverse (reverse DNS). Tu dois lui demander de le
mettre en place.
ils vont pas me faire payer ?
ok , c'est vrai qu'il faudrait que je mette à jour :(
Bah ouais...
j'ai mis à jour phpbb en attendant ...
bizarrement , les logs sont tres etrange , on dirait que la personne
avait directement accé au serveur , cette personne a balancé ses wget
sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune
erreur , le premier wget est apparu comme ça à 23h47. petite
question : est
ce qu'une commande wget balancée en ssh avec accé root se retrouve
dans le error_log ?
Ton mec a réussi à chopper un shell root sur ta machine, c'est un
fait. La question est de savoir comment. Donc tu dois regarder tes
logs sur les heures précédents ces premières traces.
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre
long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Si le mec est passé par ton phpBB, Apache n'y verra rien à redire.
ok
Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre
qui contiennent un appel de system() par exemple) et des binaires qui
ne sont clairement pas à toi ("nc" par exemple).
le fichier perl déja ( listé dans une autre contrib )
j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à
100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque
depuis un site web anglais qui vends des produits d'equitation , j'en ai
téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du
fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
Je ne peux pas
prédire ce qui a été fait, mais le fait d'uploader un binaire et un
script PHP pour le lancer est classique.
vi.
Regarde aussi du côté des connexions SSH (auth.log), il y a des
attaques par dictionnaire qui tournent en ce moment. Si ton mot de
passe root est un peu faible, ou qu'un compte classique avec mot de
passe faible ou par défaut est présent, il est peut-être passé par là.
oui j'ai souvent des petites attaques en ssh , mais souvent des choses assez
faibles ( du genre user toto pass toto ) donc je n'y ai pas prété attention
... j'aurais peut etre du ...
Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès
shell à ta machine, le pas à faire pour passer root n'est plus très
fort, surtout si ton kernel n'est pas à jour (nombreux local root via
le kernel sous Linux).
ok.
http://www.xaero-method.com/info
Surtout vu la configuration que ça affiche...
je le concede :/
C'est un grand classique.
surtout que dans le fichier perl , la variable unix=1 donc le mec s'est bien
renseigné avant et n'a pas réglé son script pour windows , enfin j'ai viré
le fichier ;)
merci pour ces contributions , j'y vois deja un peu plus clair ;)
--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal. erf ... en fait ca consiste en quoi , j'avoue que au niveau des dns
, j'ai pataugé et j'ai un peu laché l'affaire , à la base m'occuper d'un serveur , c'est pas du tout mon domaine donc j'ai un peu fait comme j'ai pu :/
Toi, tu t'occupes de ton domaine. Par contre, ton hébergeur, lui, s'occupe de la classe d'IP, et il peut associer à ton IP un nom pour qu'on puisse faire une requête DNS sur l'IP. c'est ça un enregistrement inverse (reverse DNS). Tu dois lui demander de le mettre en place.
ils vont pas me faire payer ?
ok , c'est vrai qu'il faudrait que je mette à jour :(
Bah ouais...
j'ai mis à jour phpbb en attendant ...
bizarrement , les logs sont tres etrange , on dirait que la personne avait directement accé au serveur , cette personne a balancé ses wget sans probleme ( plus de 100 ) et sans qu'apache ne detecte aucune erreur , le premier wget est apparu comme ça à 23h47. petite question : est ce qu'une commande wget balancée en ssh avec accé root se retrouve dans le error_log ?
Ton mec a réussi à chopper un shell root sur ta machine, c'est un fait. La question est de savoir comment. Donc tu dois regarder tes logs sur les heures précédents ces premières traces.
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Si le mec est passé par ton phpBB, Apache n'y verra rien à redire.
ok
Cherche un peu sur ta machine la trace de scripts PHP bizarres (genre qui contiennent un appel de system() par exemple) et des binaires qui ne sont clairement pas à toi ("nc" par exemple).
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre , les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque depuis un site web anglais qui vends des produits d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
Je ne peux pas
prédire ce qui a été fait, mais le fait d'uploader un binaire et un script PHP pour le lancer est classique.
vi.
Regarde aussi du côté des connexions SSH (auth.log), il y a des attaques par dictionnaire qui tournent en ce moment. Si ton mot de passe root est un peu faible, ou qu'un compte classique avec mot de passe faible ou par défaut est présent, il est peut-être passé par là.
oui j'ai souvent des petites attaques en ssh , mais souvent des choses assez faibles ( du genre user toto pass toto ) donc je n'y ai pas prété attention ... j'aurais peut etre du ...
Ce que tu dois comprendre, c'est qu'une fois qu'il aura un accès shell à ta machine, le pas à faire pour passer root n'est plus très fort, surtout si ton kernel n'est pas à jour (nombreux local root via le kernel sous Linux).
ok.
http://www.xaero-method.com/info Surtout vu la configuration que ça affiche... je le concede :/
C'est un grand classique.
surtout que dans le fichier perl , la variable unix=1 donc le mec s'est bien renseigné avant et n'a pas réglé son script pour windows , enfin j'ai viré le fichier ;)
merci pour ces contributions , j'y vois deja un peu plus clair ;)
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit : [Reverse DNS]
ils vont pas me faire payer ?
No se, il faut demander.
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Ouais, je pense que tu vas y mettre du temps, sans parler de tous les binaires qu'il a déposé sur ta machine...
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
Archive-les, ça peut servir :)
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque depuis un site web anglais qui vends des produits d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est une pauvre backdoor. Le binaire est gros parce que compilé en statique.
Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai déjà commencer l'analyse de ce que tu as filé avec des collègues :)
-- Créer une hiérarchie supplementaire pour remedier à un problème (?) de dispersion est d'une logique digne des Shadocks. * BT in: Guide du Cabaliste Usenet - La Cabale vote oui (les Shadocks aussi) *
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
[Reverse DNS]
ils vont pas me faire payer ?
No se, il faut demander.
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre
long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Ouais, je pense que tu vas y mettre du temps, sans parler de tous les
binaires qu'il a déposé sur ta machine...
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une
centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je
n'arrive pas du tout à savoir à quoi ca peut correspondre ,
Archive-les, ça peut servir :)
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque
depuis un site web anglais qui vends des produits d'equitation , j'en ai
téléchargé un sur mon dur et j'ai tout supprimé , la visualisation
du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est
une pauvre backdoor. Le binaire est gros parce que compilé en statique.
Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai
déjà commencer l'analyse de ce que tu as filé avec des collègues :)
--
Créer une hiérarchie supplementaire pour remedier à un problème (?) de
dispersion est d'une logique digne des Shadocks.
* BT in: Guide du Cabaliste Usenet - La Cabale vote oui (les Shadocks aussi) *
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit : [Reverse DNS]
ils vont pas me faire payer ?
No se, il faut demander.
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Ouais, je pense que tu vas y mettre du temps, sans parler de tous les binaires qu'il a déposé sur ta machine...
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
Archive-les, ça peut servir :)
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque depuis un site web anglais qui vends des produits d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est une pauvre backdoor. Le binaire est gros parce que compilé en statique.
Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai déjà commencer l'analyse de ce que tu as filé avec des collègues :)
-- Créer une hiérarchie supplementaire pour remedier à un problème (?) de dispersion est d'une logique digne des Shadocks. * BT in: Guide du Cabaliste Usenet - La Cabale vote oui (les Shadocks aussi) *
Cedric Blancher
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut installer qqe chose ?
Il y a un poil de configuration pour activer le support du sftp côté serveur (cf. la documentation, directive subsystem). Après, tu lances "sftp mon_serveur" et hop, ils connecte au SSH en face et tu peux jouer comme avec un client FTP en ligne de commande. Il existe des clients SFTP graphiques (même pour Windows) et certains clients FTP supportent le SFTP (FileZilla par exemple si ma mémoire est bonne).
j'ai deja utilisé la commande ftp mais uniquement pour me connecter à des serveurs ftp distant , je vois pas bien comment transferer les fichiers de mon dur vers mon ftp en passant par ssh :/
Voir les commandes sftp et scp.
donc en fait à la place du port 110 , j'utilise le port 1110 , et ça marche avec oe ;) ?
Ouais, tu mets 127.0.0.1 comme adresse et 1110 comme port et c'est bon. Il faut bien sûr penser à lancer le SSH avant, sinon, ça va pas marcher, hein ? ;)
je suis pas expert en perl , mais d'aprés ce que je vois , le mec se sert du fait quele dossier tmp soit en 777 pour creer des copies temporaires des fichiers à defacer , il modifie ensuite ces fichiers depuis le dossier temporaire (777) et fait un mv vers les repertoires de destinations , du coup en theorie , il n'a pas besoin d'avoir les droits root pour faire ça ..
Il a juste besoin de pouvoir écraser les fichiers qu'il touche. Tout dépend de l'UID qu'il a obtenu en entrant sur la machine, mais en général, il n'a pas le bon. Par exemple, s'il passe par le serveur Web, il va se retrouver en www-data (dans l'immense majorité des cas), et il est rare que les fichiers du site web appartiennent à www-data... D'où les droits root.
ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs , sinon pourquoi s'embetter , il aurait pu modifier directement les fichiers sources sans passer par des copies dans le repertoire tmp , non ?
Non, parce qu'il aurait perdu les fichiers originaux qu'il semble vouloir conserver. Si tu veux échanger le contenu de deux verres, tu as besoin d'un 3e récipient pour pouvoir vider le premier verre. Et c'est à que /tmp intervient.
n'empeche , c'est du beau boulot.
Bof... Il avait le script qui allait bien.
finalement la question principale est : comment le script en perl a atteri dans le repertoire tmp, un wget sans doute , ( au fait j'ai consulté le error_log et les transfers des fichiers sont dedans , donc peut on suposer que le wget a eu lieu par le biais d'apache ? )
La question me semble plutôt être "comment le mec s'est retrouvé avec un shell sur la machine", à supposer bien entendu qu'il en ait eu un...
-- BOFH excuse #305:
IRQ-problems with the Un-Interruptible-Power-Supply
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut
installer qqe chose ?
Il y a un poil de configuration pour activer le support du sftp côté
serveur (cf. la documentation, directive subsystem). Après, tu lances
"sftp mon_serveur" et hop, ils connecte au SSH en face et tu peux jouer
comme avec un client FTP en ligne de commande.
Il existe des clients SFTP graphiques (même pour Windows) et certains
clients FTP supportent le SFTP (FileZilla par exemple si ma mémoire est
bonne).
j'ai deja utilisé la commande ftp mais uniquement pour me connecter à
des serveurs ftp distant , je vois pas bien comment transferer les
fichiers de mon dur vers mon ftp en passant par ssh :/
Voir les commandes sftp et scp.
donc en fait à la place du port 110 , j'utilise le port 1110 , et ça
marche avec oe ;) ?
Ouais, tu mets 127.0.0.1 comme adresse et 1110 comme port et c'est bon.
Il faut bien sûr penser à lancer le SSH avant, sinon, ça va pas
marcher, hein ? ;)
je suis pas expert en perl , mais d'aprés ce que je vois , le mec se
sert du fait quele dossier tmp soit en 777 pour creer des copies
temporaires des fichiers à defacer , il modifie ensuite ces fichiers
depuis le dossier temporaire (777) et fait un mv vers les repertoires de
destinations , du coup en theorie , il n'a pas besoin d'avoir les droits
root pour faire ça ..
Il a juste besoin de pouvoir écraser les fichiers qu'il touche. Tout
dépend de l'UID qu'il a obtenu en entrant sur la machine, mais en
général, il n'a pas le bon. Par exemple, s'il passe par le serveur Web,
il va se retrouver en www-data (dans l'immense majorité des cas), et il
est rare que les fichiers du site web appartiennent à www-data... D'où
les droits root.
ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs ,
sinon pourquoi s'embetter , il aurait pu modifier directement les
fichiers sources sans passer par des copies dans le repertoire tmp , non
?
Non, parce qu'il aurait perdu les fichiers originaux qu'il semble vouloir
conserver. Si tu veux échanger le contenu de deux verres, tu as besoin
d'un 3e récipient pour pouvoir vider le premier verre. Et c'est à que
/tmp intervient.
n'empeche , c'est du beau boulot.
Bof... Il avait le script qui allait bien.
finalement la question principale est : comment le script en perl a
atteri dans le repertoire tmp, un wget sans doute , ( au fait j'ai
consulté le error_log et les transfers des fichiers sont dedans , donc
peut on suposer que le wget a eu lieu par le biais d'apache ? )
La question me semble plutôt être "comment le mec s'est retrouvé avec
un shell sur la machine", à supposer bien entendu qu'il en ait eu un...
--
BOFH excuse #305:
IRQ-problems with the Un-Interruptible-Power-Supply
Le Tue, 30 Nov 2004 17:10:34 +0000, Xaero a écrit :
en fait je lance ma session ssh et j'utilise la commande ftp ? ou il faut installer qqe chose ?
Il y a un poil de configuration pour activer le support du sftp côté serveur (cf. la documentation, directive subsystem). Après, tu lances "sftp mon_serveur" et hop, ils connecte au SSH en face et tu peux jouer comme avec un client FTP en ligne de commande. Il existe des clients SFTP graphiques (même pour Windows) et certains clients FTP supportent le SFTP (FileZilla par exemple si ma mémoire est bonne).
j'ai deja utilisé la commande ftp mais uniquement pour me connecter à des serveurs ftp distant , je vois pas bien comment transferer les fichiers de mon dur vers mon ftp en passant par ssh :/
Voir les commandes sftp et scp.
donc en fait à la place du port 110 , j'utilise le port 1110 , et ça marche avec oe ;) ?
Ouais, tu mets 127.0.0.1 comme adresse et 1110 comme port et c'est bon. Il faut bien sûr penser à lancer le SSH avant, sinon, ça va pas marcher, hein ? ;)
je suis pas expert en perl , mais d'aprés ce que je vois , le mec se sert du fait quele dossier tmp soit en 777 pour creer des copies temporaires des fichiers à defacer , il modifie ensuite ces fichiers depuis le dossier temporaire (777) et fait un mv vers les repertoires de destinations , du coup en theorie , il n'a pas besoin d'avoir les droits root pour faire ça ..
Il a juste besoin de pouvoir écraser les fichiers qu'il touche. Tout dépend de l'UID qu'il a obtenu en entrant sur la machine, mais en général, il n'a pas le bon. Par exemple, s'il passe par le serveur Web, il va se retrouver en www-data (dans l'immense majorité des cas), et il est rare que les fichiers du site web appartiennent à www-data... D'où les droits root.
ce qui me fait dire qu'il n'avait sans doute pas les pleins pouvoirs , sinon pourquoi s'embetter , il aurait pu modifier directement les fichiers sources sans passer par des copies dans le repertoire tmp , non ?
Non, parce qu'il aurait perdu les fichiers originaux qu'il semble vouloir conserver. Si tu veux échanger le contenu de deux verres, tu as besoin d'un 3e récipient pour pouvoir vider le premier verre. Et c'est à que /tmp intervient.
n'empeche , c'est du beau boulot.
Bof... Il avait le script qui allait bien.
finalement la question principale est : comment le script en perl a atteri dans le repertoire tmp, un wget sans doute , ( au fait j'ai consulté le error_log et les transfers des fichiers sont dedans , donc peut on suposer que le wget a eu lieu par le biais d'apache ? )
La question me semble plutôt être "comment le mec s'est retrouvé avec un shell sur la machine", à supposer bien entendu qu'il en ait eu un...
-- BOFH excuse #305:
IRQ-problems with the Un-Interruptible-Power-Supply
Xaero
Cedric Blancher wrote:
[Reverse DNS]
ils vont pas me faire payer ?
No se, il faut demander.
je vais faire ça de ce pas ;)
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Ouais, je pense que tu vas y mettre du temps, sans parler de tous les binaires qu'il a déposé sur ta machine...
chaque binaire déposé est logué avec tout le detail du transfer ( avec les pourcentages etc ... ) , mais le pire , c'est que c'est tellement soudain , qu'a mon avis , la personne avait deja pénétré avant , peut etre une semaine avant et n'avait meme plus à forcer le passage pour commettre son forfait ;)
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
Archive-les, ça peut servir :)
surtout le fichier perl en fait , ne serais ce que pour fournir une solution d'anti-defaçage , ca peut etre tres pratique ;)
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque depuis un site web anglais qui vends des produits d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est une pauvre backdoor. Le binaire est gros parce que compilé en statique.
est ce que ca présente un risque pour le serveur , cette backdoor execute t'elle qqe chose qui ecoute sur le port x ou y du serveur ? à priori je n'ai rien remarqué d'anormal au niveau des process , mais ce que j'ai du mal à comprendre c'est le nombre impressionant de fichier , le mec n'a vraiment pas voulu etre discret , ou alors , il a lancé un script qui boucle le telechargement de cd , ce qui expliquerait les .1 .2 , je me souviens que wget ajoute automatiquement un numero qu'il incremente afin de ne pas ecraser le fichier précédent.
Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai déjà commencer l'analyse de ce que tu as filé avec des collègues :)
lol ok , merci ;)
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Cedric Blancher wrote:
[Reverse DNS]
ils vont pas me faire payer ?
No se, il faut demander.
je vais faire ça de ce pas ;)
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca
va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs
jours ...
Ouais, je pense que tu vas y mettre du temps, sans parler de tous les
binaires qu'il a déposé sur ta machine...
chaque binaire déposé est logué avec tout le detail du transfer ( avec les
pourcentages etc ... ) , mais le pire , c'est que c'est tellement soudain ,
qu'a mon avis , la personne avait deja pénétré avant , peut etre une semaine
avant et n'avait meme plus à forcer le passage pour commettre son forfait ;)
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une
centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) ,
je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
Archive-les, ça peut servir :)
surtout le fichier perl en fait , ne serais ce que pour fournir une solution
d'anti-defaçage , ca peut etre tres pratique ;)
les fichiers font tous 950ko , ils ont été téléchargé pendant
l'attaque depuis un site web anglais qui vends des produits
d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout
supprimé , la visualisation
du fichier n'apporte aucune info exploitable ( par moi en tout cas
:p )
À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est
une pauvre backdoor. Le binaire est gros parce que compilé en
statique.
est ce que ca présente un risque pour le serveur , cette backdoor execute
t'elle qqe chose qui ecoute sur le port x ou y du serveur ? à priori je n'ai
rien remarqué d'anormal au niveau des process , mais ce que j'ai du mal à
comprendre c'est le nombre impressionant de fichier , le mec n'a vraiment
pas voulu etre discret , ou alors , il a lancé un script qui boucle le
telechargement de cd , ce qui expliquerait les .1 .2 , je me souviens que
wget ajoute automatiquement un numero qu'il incremente afin de ne pas
ecraser le fichier précédent.
Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai
déjà commencer l'analyse de ce que tu as filé avec des collègues :)
lol ok , merci ;)
--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
vi je vais analyser ca demain , y a 45 mo de logs , je sent que ca va etre long , en plus pour peu qu'il s'y soit pris sur plusieurs jours ...
Ouais, je pense que tu vas y mettre du temps, sans parler de tous les binaires qu'il a déposé sur ta machine...
chaque binaire déposé est logué avec tout le detail du transfer ( avec les pourcentages etc ... ) , mais le pire , c'est que c'est tellement soudain , qu'a mon avis , la personne avait deja pénétré avant , peut etre une semaine avant et n'avait meme plus à forcer le passage pour commettre son forfait ;)
le fichier perl déja ( listé dans une autre contrib ) j'ai aussi une centaine de fichier cd.1 cd.x (où x est un nombre de 1 à 100et+ ) , je n'arrive pas du tout à savoir à quoi ca peut correspondre ,
Archive-les, ça peut servir :)
surtout le fichier perl en fait , ne serais ce que pour fournir une solution d'anti-defaçage , ca peut etre tres pratique ;)
les fichiers font tous 950ko , ils ont été téléchargé pendant l'attaque depuis un site web anglais qui vends des produits d'equitation , j'en ai téléchargé un sur mon dur et j'ai tout supprimé , la visualisation du fichier n'apporte aucune info exploitable ( par moi en tout cas :p )
À priori, ce sont tous le même binaire cd (cf. autre contrib) qui est une pauvre backdoor. Le binaire est gros parce que compilé en statique.
est ce que ca présente un risque pour le serveur , cette backdoor execute t'elle qqe chose qui ecoute sur le port x ou y du serveur ? à priori je n'ai rien remarqué d'anormal au niveau des process , mais ce que j'ai du mal à comprendre c'est le nombre impressionant de fichier , le mec n'a vraiment pas voulu etre discret , ou alors , il a lancé un script qui boucle le telechargement de cd , ce qui expliquerait les .1 .2 , je me souviens que wget ajoute automatiquement un numero qu'il incremente afin de ne pas ecraser le fichier précédent.
Si tu as besoin d'aide, n'hésite pas à me contacter directement, j'ai déjà commencer l'analyse de ce que tu as filé avec des collègues :)
lol ok , merci ;)
-- Xaero, Jeu en ligne Xm-jdr http://www.xaero-method.com/jdr
Nicob
On Tue, 30 Nov 2004 12:22:54 +0000, Cedric Blancher wrote:
Bref, y'a du monde...
C'est les sapins de Noël qui sont un peu avance cette année :)
Mais je reste partisan d'une intrusion via le phpBB.
Tout pareil. Ce type de criminels ne se prend pas la tête à compiler du code et à calculer des offsets. Pour moi, c'est une faille applicative qui a été exploitée, et phpBB est effectivement un coupable idéal.
D'ailleurs, il serait intéressant de ne pas trop "pourrir" la scène de crime (enfin, la machine quoi) afin d'essayer de déterminer quel est le vecteur d'entrée et quelles ont été les actions entreprises.
Nicob
On Tue, 30 Nov 2004 12:22:54 +0000, Cedric Blancher wrote:
Bref, y'a du monde...
C'est les sapins de Noël qui sont un peu avance cette année :)
Mais je reste partisan d'une intrusion via le phpBB.
Tout pareil. Ce type de criminels ne se prend pas la tête à compiler du
code et à calculer des offsets. Pour moi, c'est une faille applicative
qui a été exploitée, et phpBB est effectivement un coupable idéal.
D'ailleurs, il serait intéressant de ne pas trop "pourrir" la scène de
crime (enfin, la machine quoi) afin d'essayer de déterminer quel est le
vecteur d'entrée et quelles ont été les actions entreprises.
On Tue, 30 Nov 2004 12:22:54 +0000, Cedric Blancher wrote:
Bref, y'a du monde...
C'est les sapins de Noël qui sont un peu avance cette année :)
Mais je reste partisan d'une intrusion via le phpBB.
Tout pareil. Ce type de criminels ne se prend pas la tête à compiler du code et à calculer des offsets. Pour moi, c'est une faille applicative qui a été exploitée, et phpBB est effectivement un coupable idéal.
D'ailleurs, il serait intéressant de ne pas trop "pourrir" la scène de crime (enfin, la machine quoi) afin d'essayer de déterminer quel est le vecteur d'entrée et quelles ont été les actions entreprises.
Nicob
Nicob
On Tue, 30 Nov 2004 11:23:56 +0000, Cedric Blancher wrote:
Déjà, juste une remarque comme ça, ton serveur Web n'a pas de reverse DNS. C'est cosmétique me diras-tu, mais dans l'absolu, c'est maaaal.
Dans le cas présent, ce n'est pas le plus grave. Malheureusement ...
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
Ne pas oublier "/scripts/fr.exe" qui est une page HTML exploitant la faille IFRAME. Pour 'jsk.jpsp', ça ressemble à une n-ième création du gang Dumaru, au vu des clés de registre postionnées (HKCUSoftwareSARS).
Nicob
On Tue, 30 Nov 2004 07:25:12 +0000, Cedric Blancher wrote:
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
Ne pas oublier "/scripts/fr.exe" qui est une page HTML exploitant la
faille IFRAME. Pour 'jsk.jpsp', ça ressemble à une n-ième création du
gang Dumaru, au vu des clés de registre postionnées (HKCUSoftwareSARS).
Examiner le contenu de http://tbsoft.org/jsk.jsp me semble tout approprié.
Ne pas oublier "/scripts/fr.exe" qui est une page HTML exploitant la faille IFRAME. Pour 'jsk.jpsp', ça ressemble à une n-ième création du gang Dumaru, au vu des clés de registre postionnées (HKCUSoftwareSARS).
