On Wed, 17 May 2006 20:25:26 +0200, ST wrote:
[snip]
> Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan
[snip]
> Læs mere på
http://swampthing.dk/attack1/
Grunden til at den hedder /tmp/upxXXXXXX er at trojanen er komprimeret med
UPX (
http://www.upx.org/). Det har - som sådan - ikke noget med trojanen
selv at gøre.
> PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over
> hvad det hul kan have været brugt til, kan nemlig ikke finde ret meget
> info om sådan noget på google???
Du kan pakke trojanen ud:
$ echo -ne "\177\105\114\106\001...\005\000\000\37777777777" >/tmp/trojan
$ upx -d /tmp/trojan
og kigge lidt på de strenge den indeholder:
$ strings /tmp/trojan
....
shell
NOTICE %s :what?
/bin/sh
missing /bin/sh
dos
NOTICE %s :version %s
stop
NOTICE %s :stopped
....
Det ser ud som om trojanen (blandt andet) kan starte en shell på din
server og udføre et denial of service-angreb.
mvh
Morten K. Poulsen