[HACK] MyeGallery -- phpnuke
J.A. Gutierrez
spd at shiva.cps.unizar.es
Thu Dec 4 19:20:38 CET 2003
On Wed, Dec 03, 2003 at 06:00:26PM +0100, Pedro Pablo wrote:
> access_log.copia:200.103.x.x
> www.securebi0s.hpg.com.br/telnetd
> www.fud3d8r.blogger.com.br/r0nin
> y los ha ejecutado como apache.
> Uno tenía una conexión con: housing10.berlin3.powerweb.de desde mi puerto 3763
> al 4599.
> En fin que agradecería cualquier pista sobre estos programas.
Cosas que puedes probar:
* Ejecutar "strings" sobre ambos binarios.
* Ejecutarlos en otra maquina, como usuario sin privilegios,
con un trazador de llamadas al sistema (strace, truss, etc).
* Idem sin trazador y viendo que puertos abren.
* Conectarte a dichos puertos.
* Dejar en la maquina comprometida un servidor que simule
ser el que te han metido pero que te avise de los accesos.
* Mandar quejas al responsable de la red remota desde la
que entran (y de paso, al de hpg.com.br y blogger.com.br y al
de 200.103.x.x)
* No se hasta que punto te puedes fiar de tripwire. Tenias
la base de datos de "signatures" en un sistema diferente?
Has realizado la verificacion arrancando desde otro sistema
y conectandole el disco comprometido?
--
finger spd at shiva.cps.unizar.es for PGP /
.mailcap tip of the day: / La vida es una carcel
application/ms-tnef; cat '%s' > /dev/null / con las puertas abiertas
text/x-vcard; cat '%s' > /dev/null / (A. Calamaro)
More information about the hacking
mailing list