[HACK] MyeGallery -- phpnuke

J.A. Gutierrez spd at shiva.cps.unizar.es
Thu Dec 4 19:20:38 CET 2003


On Wed, Dec 03, 2003 at 06:00:26PM +0100, Pedro Pablo wrote:

> access_log.copia:200.103.x.x

> www.securebi0s.hpg.com.br/telnetd
> www.fud3d8r.blogger.com.br/r0nin
> y los ha ejecutado como apache.


> Uno tenía una conexión con: housing10.berlin3.powerweb.de desde mi puerto 3763
> al 4599.


> En fin que agradecería cualquier pista sobre estos programas.

	Cosas que puedes probar:

	* Ejecutar "strings" sobre ambos binarios.
	* Ejecutarlos en otra maquina, como usuario sin privilegios,
	con un trazador de llamadas al sistema (strace, truss, etc).
	* Idem sin trazador y viendo que puertos abren.
	* Conectarte a dichos puertos.
	* Dejar en la maquina comprometida un servidor que simule
	ser el que te han metido pero que te avise de los accesos.
	* Mandar quejas al responsable de la red remota desde la
	que entran (y de paso, al de hpg.com.br y blogger.com.br y al
	de 200.103.x.x)
	* No se hasta que punto te puedes fiar de tripwire. Tenias
	la base de datos de "signatures" en un sistema diferente?
	Has realizado la verificacion arrancando desde otro sistema
	y conectandole el disco comprometido?

-- 
finger spd at shiva.cps.unizar.es for PGP      /
.mailcap tip of the day:                   /             La vida es una carcel
application/ms-tnef; cat '%s' > /dev/null /           con las puertas abiertas
text/x-vcard; cat '%s' > /dev/null       /            (A. Calamaro)



More information about the hacking mailing list