Perché Un1c0rn espone wget su heartbleed?

Tutti i link che erano lassù non erano necessariamente problemi di sicurezza.

Questo wget, per esempio, stava mettendo in evidenza i robot che scansionavano i server web e dando ai ricercatori di sicurezza un po 'di sangue fresco per iniziare a cercare un C & C;)

Ulteriori dettagli:

Il bot sta analizzando Internet come noi, qui quando vedi un wget ( link ) dopo un'intestazione HTTP, significa che il bot ha provato ad eseguire codice PHP iniettandolo nella richiesta sul sistema di destinazione.

Questo codice ti dà la posizione remota dello script in dotazione per infettare la macchina e ti dà alcune informazioni utili per iniziare una nuova caccia;)

Qui puoi vedere lo script di infezione:

hxxp: //208.85.177.238/.x/hb/php08

E qui ci sono le informazioni relative a tale botnet:

$ servidor = '194.24.228.203' a meno di $ servidor; my $ porta = '443'; my @canais = ("# allornothing"); my @adms = ("Kelevra");

Potresti essere gentile e seguire il flebo mofo ... Potresti essere cattivo, e prendere quella stanza IRC, e anche senza conoscere la password per l'amministrazione botnet, elencare gli IP, infettare le macchine connesse al canale IRC come se fossero state infettate in primo luogo dalla botnet e grazie alla botnet per tutti questi host vulnerabili ti sono stati dati.

Sembra essere solo il ricordo che hanno afferrato con il cuore. Sembra uno script PHP che esegue wget, probabilmente nella memoria del server sottoposto a scansione.