Perché Un1c0rn espone wget su heartbleed?

1

Che senso ha mettere in evidenza wget nelle discariche di cuore?

Sto specificatamente parlando di questo che è la prima pagina di wget occorrenze nei dump di heartbleed.

Hanno inserito questa pagina come link nella parte superiore della pagina principale come se fosse pertinente in qualche modo.

Riesco a capire il motivo alla base dell'esposizione di email= e password= e bitcoin e così via, ma per quanto riguarda wget ?

È perché potrebbe rivelare percorsi di sistema o potenziali RCI, o è perché espone un sistema con il cuore e quindi wget - che è dimostrato essere usato - è anche vulnerabile ad esso?

    
posta user40242 17.07.2014 - 16:24
fonte

2 risposte

4

Tutti i link che erano lassù non erano necessariamente problemi di sicurezza.

Questo wget, per esempio, stava mettendo in evidenza i robot che scansionavano i server web e dando ai ricercatori di sicurezza un po 'di sangue fresco per iniziare a cercare un C & C;)

Ulteriori dettagli:

Il bot sta analizzando Internet come noi, qui quando vedi un wget ( link ) dopo un'intestazione HTTP, significa che il bot ha provato ad eseguire codice PHP iniettandolo nella richiesta sul sistema di destinazione.

Questo codice ti dà la posizione remota dello script in dotazione per infettare la macchina e ti dà alcune informazioni utili per iniziare una nuova caccia;)

Qui puoi vedere lo script di infezione:

hxxp: //208.85.177.238/.x/hb/php08

E qui ci sono le informazioni relative a tale botnet:

$ servidor = '194.24.228.203' a meno di $ servidor; my $ porta = '443'; my @canais = ("# allornothing"); my @adms = ("Kelevra");

Potresti essere gentile e seguire il flebo mofo ... Potresti essere cattivo, e prendere quella stanza IRC, e anche senza conoscere la password per l'amministrazione botnet, elencare gli IP, infettare le macchine connesse al canale IRC come se fossero state infettate in primo luogo dalla botnet e grazie alla botnet per tutti questi host vulnerabili ti sono stati dati.

    
risposta data 01.10.2014 - 21:01
fonte
1

Sembra essere solo il ricordo che hanno afferrato con il cuore. Sembra uno script PHP che esegue wget, probabilmente nella memoria del server sottoposto a scansione.

    
risposta data 17.07.2014 - 19:17
fonte