…E non è finita!!!…..

…. A volte le coincidenze della vita!! Avete letto, stavo per smantellare l’honeypot per mettere il fork con l ‘sftp quando è cominciato a muoversi qualcosa… Pensavo fosse poca roba, ma 30 min fa, mentre leggevo i log, meraviglia delle meraviglie mi trovo un’exploit…. o meglio mi trovo l’exploit lanciato 3 volte, allo stesso momento, da 3 IP diversi, ma, attenzione attenzione, tutti e 3 gli IP appartengono allo stesso ISP, penserete che siano Cinesi (come ho pensato pure io), manco volevo fare whois“tanto” ho pensato…. ebbene, sempre ammesso che non siano già “rotati” ovviamente, ma visto i risultati non credo:

2014-12-11 15:39:09+0000
104.149.220.27
server location: Walnut in United States
ISP: Psychz Networks

2014-12-11 15:39:10+0000
23.228.196.60
server location: Walnut in United States
ISP: Psychz Networks

2014-12-11 15:39:10+0000
107.160.48.7
server location: Walnut in United States
ISP:  Psychz Networks

Ok!, mò che sapete da gli Ammmmericani stanno preventivamente lanciando un cyber-attacco contro anarco-insurrezionalisti-rasta-vegan-comun-denominatori-antifa-antipro-frikketto-punkabbestia vi lascio vedere il log:

http://pastebin.com/6htn9ZGB

 

EDIT del 26/12:

in realtà sono uno sciocco, rileggendolo le funzioni di encode e decode sono nello script… qui ho scritto un robo con le 2 funzioni, se gli passate la stringa ve la traduce. Aggiorno man mano che avanzo, ma se avete la brillante idea di tradurre l’url del download e poi scaricare quel coso, prendete le dovute precauzioni…

 

 

 

 

 

 

 



Tags: , , , , ,
This entry was posted on giovedì, dicembre 11th, 2014 at 21:44 and is filed under Howto, utility. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

Your comment