251 - 唐睾睾睾 2014/03/09(日) 20:15:30 ID:NmawDYxE0
.phpは攻撃者オリジナルのツールでしょうか?
一般公開された管理ツールではなさそうでした。
.phpのソースで検索すると類似ソースが2つ見つかりました。
すべて日本語サイトに存在していました。
どれもCGIなどの脆弱性を突いてアップされた様子でした。
ソースはコツコツと改良が重ねられている様子でした。
ソース@ http://www.tokairc.org/outlander/cgi/chat/a.php
チャットCGIの脆弱性を突いてアップロード? サーバがPHPを許可せず不発の模様 タイムスタンプ:2007年
ソースA http://tan.s27.xrea.com/data/1280598485-test.php?%2Fvirtual%2Ftan%2Fpublic_html%2Fdata%2F1280598485-test.php
(XREAの仕様で、text/html扱い&広告表示有り)
画像掲示板の脆弱性を突いてスクリプトをアップ。投稿日時は2010年8月→tan.s27.xrea.com/mailbbs.php
ソースB http://pastebin.com/k6ekAZNL
今回の騒動で誰かが確保した.phpのソース。
Perl版?
http://webcache.googleusercontent.com/search?q=cache:2Q_EpJ_K68MJ:www51.atpages.jp/sho0512/test.cgi
↑
フッターに「perlversion 5.010001」と表示されているのを見るに、perl版も用意していたみたいです。