среда, 22 июня 2011 г.

Продолжение истории про взлом сервера GuitarPlayer.Ru

Хакеры оказались умнее, чем я думал - они еще оставили скрипты с расширением png и jpg в других директориях, подменили .htaccess, сделав эти файлы исполняемыми. К тому же изменили дату создания этих файлов так, чтобы она совпадала со всеми файлами в этой директории. Скрипт, который мне впаривают - WSO shell by oRb, выглядит так:


Хитро, черт - опять лег в 3 ночи, ища остальные дыры. Файлы такие, хотя на других серверах могут и отличаться:
  • old.png
  • menubottom.jpg 
  • banner.php
  • conf.php
Хотя, сейчас уже бесполезно, в принципе, что-то ломать - SSH перенесен на другой порт, и к тому же доступ к нему жестко привязан в IP моей домашней машины.

И я уже начинаю сомневаться, что ломает один человек. Возможно, это даже распределенная сеть, работающая в полуавтоматическом режиме. Список IP, с которых был доступ к вредоносным файлам:
  • 194.96.227.39
  • 77.241.44.46
  • 217.21.212.232
  • 207.210.71.20
Думаю, это еще не конец истории.

Комментариев нет:

Отправить комментарий