* Alex Samorukov <m...@os2.kiev.ua> [2011-06-06 20:15:19 +0400]: > У меня такое было через дырку в цмс (джумла) > > Как оно получилось: > 1) через дыру смогли заинклюдить файл с ремотного хоста > 2) этот файл сохранял си исходник и запускал гцц. гцц там был > 3) искали места где врайтабл для всех и клали бинарник туда с именами > вроде неймд или апаче > 4) пытались (хаха) получить рута линуксовыми эксплоитами, обломались > 5) запустили процессы и начали ддосить и спамить. Были замечены айдисом > и найдены с помощью tripwire и логов веб сервера. > > Вот так они и беруться ) Соответственно посикс сырец будет > компилироваться везде где есть цц и posix layer.
А если noexec на раздел с джумлой? Сама джумла работать будет? > > On 11/13/2010 03:17 PM, Alexander Andreyev wrote: > > Вот такую гадость у себя на одном хосте сегодня нашел. > > Грузила исходящий канал так, что 80% пакетов терялось. > > После кучи попыток подключиться ssh-ем и получить список процессов это > > удалось. > > Это был процесс с именем bsd с PRI 99 > > Я его успешно грохнул и нашел потом бинарник в /etc > > вот такой: > > -rwxr-xr-x 1 root wheel 23241 Nov 12 12:47 bsd > > # file bsd > > bsd: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), for > > FreeBSD 8.0 (800107), dynamically linked (uses shared libs), > > FreeBSD-style, not stripped > > > > Вот интересно теперь знать, что это было? DOS? спам? > > Ну и естественно откуда оно взялось. > > Подозреваю что с каких-то дырявых сайтов которые там хостятся. > > > > Кто может поковырять и кому интересно могу прислать бинарник. > > А я пока логи сайтов полистаю... > > -- С уважением, Ключников Алексей Сергеевич
