В рассылке появилась заметка наблюдательного товарища, который анализируя логи увидел, что с правительственных сайтов Грузии на него идут странные запросы.

Оригинальное сообщение тут: http://blog.sucuri.net/2010/02/georgia-government-sites-hacked-and.html

Первые запросы пошли 12 января с адреса psg.gov.ge.

Искали в RFI и Register_globals. Мне особенно понравилась попытка переопределения $_SERVER[DOCUMENT_ROOT].

RFI был вот на такой нехитрый скрипт:

< ?php /* Fx29ID */ echo(“FeeL”.”CoMz”); echo(“FeeL”.”CoMz”); /* Fx29ID */ ?>

Также на сайте был найден маркер вот такого содержания:

# %.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%
# % private hackers pwned your box %
# %.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%

Продолжив изыскания, автор установил, что ботнет упраляется через IRC:

servban=array(“irc.allnetwork.org”,”",”");
$bot['admin']=”E_motz”;
$bot['pass']=”gila”;
$bot['inick']=”identnick”;
$bot['pnick']=”passwordnick”;
$bot['basechan']=”#vanjava”;

Будем ждать, как говориться, официальных комментариев.

А пока, до сих пор можно видел шелл по адресу: http://www.justice.gov.ge/album/