для тех кто всегда хотел посмотреть на внутренности троян-ботов живущих на взломанных сайтах!!!

Тема в разделе "Актуально, только не в тему", создана пользователем woojin, 25.11.2010.

  1. woojin
    Offline

    woojin Местный Команда форума

    Регистрация:
    31.05.2009
    Сообщения:
    3 209
    Симпатии:
    335
    Пол:
    Мужской
    делал я человеку сайт уже давным давно, сайт работал прекрасно, но вот по какой то причине у него с ЯНДЕКС ДИРЕКТ стали исчезать деньги очень быстро, которые были вложены в рекламу

    опержая события оговорюсь: вопрос с исчезновением денег не решён ещё, но откуда ноги растут уже известно

    так вот... ой! о чём, это Я?!

    полез я к нему в логи сервера и обнаружил там странный запрос в папку images/admin/cp.php
    сразу непонятное ощущение: вроде где то тут какой то косяк, т.к. запрос был не в error.log, а в access.log и ответ на запрос был 200 Ok

    тут я вообще аху... (далее по тексту) ... заглянул я в эту папочку и увидел там то что тут прикрепил, так что можете порыться кому интересно, что эта хреновина делает я так и не понял, потому что времени разбираться не было
    если кто поймёт то отпишитесь!!

    к стати в замен JSYS.PHP там в архиве есть классный SHELL? правда он зараза архивировать не умеет, но как файл менеджер отличная штука

    вопрос такой каким образом сумели залить этот SHELL и эту панель управления ботами на сайт?

    ПРЕДУПРЕЖДАЮ: ВНУТРИ ЕСТЬ EXE ФАЙЛ В НЁМ ТРОЯН!!!!
     

    Вложения:

  2.  
  3. Dead Krolik
    Offline

    Dead Krolik специалист

    Регистрация:
    13.04.2007
    Сообщения:
    3 688
    Симпатии:
    101
    Пол:
    Мужской
    Ты правда уверен, что здесь стоит выкладывать клиентскую часть ботнета?
     
  4. woojin
    Offline

    woojin Местный Команда форума

    Регистрация:
    31.05.2009
    Сообщения:
    3 209
    Симпатии:
    335
    Пол:
    Мужской
    я думаю что те кто этим занимается, найдут другого бота, а остальные посмотрят что надо искать у себя на сайте

    более продвинутые люди смогут написать что либо для защиты своего сайт от такой вот фигни
     
    Последнее редактирование: 29.11.2010
  5. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Почтовый троян
    Описание

    Шлет примерно следующие сообщения,

    Дорогой Клиент!Dear Client!

    Денежный перевод, который Вы послали 13-ого апреля, не был получен получателем. The money transfer you have sent on the 13th of April hasn't been received by the recipient.
    Из-за регулирования Western Union передачи , которые не собраны через 15 дней, должны быть возвращены отправителю. Due to the Western Union regulation the transfers which are not collected in 15 days are to be returned to sender.
    Чтобы забрать фонды, Вы должны напечатать счет , приложенный к этой электронной почте, и посетить самый близкий офис Western Union. To collect funds you need to print the invoice attached to this e-mail and visit the nearest Western Union office.

    Спасибо!
     
    Последнее редактирование: 29.11.2010
  6. woojin
    Offline

    woojin Местный Команда форума

    Регистрация:
    31.05.2009
    Сообщения:
    3 209
    Симпатии:
    335
    Пол:
    Мужской
    интересно и как человек которому было отправлено это письмо собирался чего либо с него получить?
    если он не зарегистрирован в WU

    и вообще каким образом эта скотина пролезла на сервер с сайтом и поселилась в images
     
  7. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Ну копать сам шелл не стал, но как понял по описанию вирь собран из нескольких известных модификаций. Сперва на хостинг заливается весь суповой набор.
    Открывается вот этот самый SHELL заливает на машину посетителя екзешник. Так как вирус собран из нескольких модификаций имеет много возможностей, собирает все почтовые адреса (возможно из оутлук) и рассылает по ним сообщения, собирает все пароли из фтп менеджеров (возможно и другие пароли) и отправляет их на какой-то адрес. С какого-то адреса бот забирает пароли от фтп заливает туда всю сборку. Далее с начала текста
     
  8. woojin
    Offline

    woojin Местный Команда форума

    Регистрация:
    31.05.2009
    Сообщения:
    3 209
    Симпатии:
    335
    Пол:
    Мужской
    это понятно, непонятно другое как пароль от FTP тиснули или как вообще этот шел залили на сервак, ну в принципе пофиг, заказчик все пароли сменил, я файлО проверил на наличие фигни внедрённой, вроде ничего нету
     

Поделиться этой страницей

Загрузка...