@borysses: how mad? :D

@akerro: Verey mad. Czyszcze wlasnie serwer z kodu, skurwiel wbil sie wszedzie, wszystkie sajty na serwerze to maja. Sprawdzam jeszcze baze danych i pliki...

Jebaniec modyfikuje pliki doklejajac tego base_64 i wkleja date modyfikacji jaka byla w oryginalnym pliku ;__;

robie svn diff po rozmiarze.

@borysses: wyobraź sobie teraz że nie ma tego svna ani gita...

@akerro: Wtedy tylko chlastac sie czerstwym rogalem po powiekach... Albo przywracac server z obrazu albo kopia plikow z dev :)

@akerro: Oh, jeszcze skurwiel shella zainstalowal i zmienil pass do ftp...

@akerro: Caly server poszed do dev/null na wszelki wypadek. Sprawdzilem logi i dziwne sessje zaczely sie pojawiac wczoraj o 21:45. Wyjebalem chama i przywrocilem server z obrazu i baze z kopii. Wszystko wyglada OK a svn diff pokazuje wszystko tak jak ma byc. No to teraz tylko odkryc jak to gowno sie wbilo...

@borysses: szelszok pewnie któryś :P mowilem ze mozecie wziac moja oferte :P

@zskk: sysadmin niby paczowal...

@akerro: no to teraz musze userom dać znać, że passwordy muszą zmienić. Not a big deal. Łącznie jakieś 4k pipol.

@borysses:

curl https://shellshocker.net/shellshock_test.sh | bash

@zskk: Sprawdzałem i nic nie wypisuje, wiec to nie to. Co ciekawe na koncu stringu z base_64 był znaczek ctrl+v i nowej lini w dosie/windzie co w kodzie targetującym systemy unixowe raczej sensu nie ma. Jednak mielismy problem z malware w korp_lanie i sie zastanawiam, czy ktos kto edytuje kontent, zrobil kopiuj wklej a to gowno sie doczepilo... a jak juz znalazlo sie na serwerze to zaczelo broic.