[HACK] MyeGallery -- phpnuke

Thu Dec 4 13:23:04 CET 2003

Interesante... el telnetd que es el unico que he podido bajar abre una
backdoor en el puerto 14589 sin contraseÃ±a con acceso del usuario
apache. El problema es que desde ahi con cualquier xploit local se haria
con la maquina.

Olvidate del wtmp, utmp y demas porque no lo registra.
Por otro lado desde la shell backdorizada:

quasar at annapurna:~$ tty
/dev/pts/4
quasar at annapurna:~$ 

Y desde la una normal:
quasar   pts/2    :0.0             11:36    1.00s  0.07s  0.01s telnet
localhost
quasar   pts/3    :0.0             11:38    0.00s  0.03s  0.01s w
quasar at annapurna:~$ 

Vamos que no aparece como conectado.

El otro binario no lo he podido ver..... supongo que serÃƒÂ¡ el xploit.

chkrootkit es una buena forma de empezar a mirar cosas.... por lo menos
detecta el suckit como LKM trojan ademas de mil otros.....

Un saludo....

PD: Por cierto aunque mates el telnetd, el hijo queda en marcha!

QSR, http://www.undersec.com