64-битный аля формграбер под Linux

greenzy · 20.11.2012

полное описание здесь: http://www.xakep.ru/post/59663/
еще полнее: http://blog.crowdstrike.com/2012/11/http-i...ux-rootkit.html

названия функций внутри руткита впечатляют

inject_css_web_page_begin_data .text 0000000000001F1E 00000006 R . . . . . .
inject_html_web_page_begin_data .text 00000000000053FC 00000119 R . . . . . .
inject_http_nginx_server_write_msg .text 0000000000002F7E 000000ED R . . . . . .
inject_js_web_page_begin_data .text 0000000000001F24 00000006 R . . . . . .
inject_web_page_begin_data .text 000000000000530B 000000F1 R . . . . . .
inject_web_page_begin_data_start .text 0000000000005515 0000002E R . . . . . .
insert_data_here .text 0000000000003225 00000036 R . . . . . .

го анализировать! сам файл ссылка

12309 · 21.11.2012

баян, продавалось на эксплоите несколько месяцев назад. емнип $5k стоило.
и это не формграббер, а ифреймер, он ставится на веб-сервер, а не юзерам на компы

greenzy · 21.11.2012

хз, я не видел)
но посмотреть интересно

Left4Dead · 21.11.2012

12309, это не то.
А установку этого руткита автор давно продаёт, но не эксплойте, а на приватных форумах.

12309 · 21.11.2012

хз, я видел на сплоенте подобный модуль, в описании - инжект ифрейма напрямую в http трафик

owen · 23.01.2013

676K кода особо непроанализируешь в разумный промежуток времеми

Ar3s · 25.01.2013

Глянул дату файла у себя на винте.
21.11.12
Всем тупо лениво заглядывать внутрь.

64-битный аля формграбер под Linux

greenzy

(L3) cache

12309

(L3) cache

greenzy

(L3) cache

Left4Dead

(L3) cache

12309

(L3) cache

owen

floppy-диск

Ar3s

Старожил форума