Megtalálták az egyik tárhelyemet. Így. Szó szerint. 4-5 domain könyvtárában találtam egy-két érdekes dolgot. A legkorábbi dátumú júl. 13-i, a legkésőbbi júl. 19-i volt.
Mik voltak?
Citibank átjáró. Nem a magyar, hanem a .com végű.
Az oldal gyökerében volt egy www.citibank.com könyvtár, egy www.citibank.com.zip fájl és egy use.php nevű fájl, ami base64 kódolású. A kikódolás nem jött be, minden online kódoló krixkrax-okat adott ki rá.
Az use.php nevű fájlt még három domain gyökerében találtam meg, kettő ugyanolyan méretű, mint az első, a harmadik kisebb – kikódolási kísérlet a fenti eredményt hozta, így aztán nem tudom mi a tartalma.
Az egyik use.php fájl mellett találtam egy Unreal3.2.8.1.tar.gz fájt, vagyis irc bot-nak akarták használni (unrealircd pont com). 19-i dátumú, kicsomagolásra nem maradt idő…
Egyik könyvtárban találtam egy bl.txt fájt, ami szintén valami kódolt szöveget tartalmaz, egy másikban egy GooDmOnInneed.php nevű fájt, ez is valami kódolt szöveget tartalmaz.
Egy könyvtárban a következőket: wachovia.com.zip fáj, egy wachovia.com nevű könyvtár és egy use.php.
A történet pikantériája, hogy kizárólag wordpress alapú oldalak gyökereiben találtam, és csak ezeket, semmi mást, semmilyen feltörésre utaló jelet.
Hogyan kerülhettek akkor a tárhelyemre?
Szerencsém volt, a figyelmeztetést viszonylag időben kaptam (a Citibank miatt), így hamar nagytakarítást végezhettem.
Azt hiszem, a napokban kellene rá írnom egy “takarító” scriptet, és beállítani rá egy cront.
Ha nyomon akarod követni a bejegyzést, iratkozz fel az RSS csatornára.
Cimkék: biztonság
Kommentek: Nincs komment, legyél az első
Minden mezőt ki kell tölteni, ami Kötelező jelöléssel van ellátva.
Szólj hozzá!