L'hacker ha utilizzato una shell MulCiShell v0.2 pubblicamente disponibile. Può essere configurato per eseguire una serie di funzioni, inclusa la forzatura bruta delle password, il download dell'intero sito e la replica automatica. Puoi dare un'occhiata più da vicino a mshell.php per vedere cosa fa.
Modifica:
Dai tuoi file di registro:
Ha provato ad accedere a / etc / passwd che contengono un elenco di utenti del sistema. Stava probabilmente cercando di passare a un utente con privilegi aggiuntivi. Ha provato dalla riga 66-278 del log e non è riuscito, probabilmente perché il server Web non era in esecuzione come root.
Nella riga 300, prova ad accedere al tuo file .htaccess. Probabilmente sta tentando di modificarlo per consentire l'esecuzione di script CGI in modo che possa accedere a / etc / passwd
Riga 406, tenta di decifrare la password del tuo sito. $ arr è una variabile dichiarata nella riga 473 di mshell.php. Suppongo che abbia lasciato vuoto il parametro auth_url post.
Riga 518, prova ad accedere a .htaccess ancora una volta.
Riga 1272, ultimo tentativo di fuga tentando di sfruttare alcuni buffer overflow in apache.
Non penso che sia riuscito a compromettere la macchina, ha usato uno strumento disponibile pubblicamente e non sembrava sapere cosa stava facendo. Dubito che abbia coperto anche le sue tracce. Il suo IP 117.7.198.84 proviene da un ISP vietnam e inoltre il referer per alcune richieste è link . Anche se avrebbe potuto compromettere una macchina in vietnam e l'ha usata come piattaforma per attaccare il tuo sito.