<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
<div>Mike,</div><div><br></div><div>I may have just been helping a friend look into this hack.  Do you see hits like:</div><div><blockquote type="cite" style="font-family: Helvetica; font-size: medium; "><div><a href="http://www.thesel.org/administrator/templates/bluestork/stcp.php?action=start&time_s=1349981288&time_e=1349988288&page===ZwN1YwV1AF4lAQZhZGSoV104ZSfwKGR0JlAqAmNjZN">http://www.somsitethatisnotrealbutisjoomla.org/administrator/templates/bluestork/stcp.php?action=start&time_s=1349981288&time_e=1349988288&page===ZwN1YwV1AF4lAQZhZGSoV104ZSfwKGR0JlAqAmNjZN</a></div></blockquote></div><div><br></div><div>After it created these files</div><div><div>stcp.php</div><div>stph.php</div><div>indx.php</div><div>error.php</div></div><div><br></div><div><font class="Apple-style-span" size="2"><br></font></div><div><font class="Apple-style-span" size="2">The page = '==ZwN1YwV1AF4lAQZhZGSoV104ZSfwKGR0JlAqAmNjZN';</font></div><div><div><font class="Apple-style-span" size="2"><br></font></div><div><font class="Apple-style-span" size="2">Translates to:</font></div><div><font class="Apple-style-span" size="2">205.255.243.11[#]80[#]14[#]7000</font></div><div><font class="Apple-style-span" size="2">(Looks like 205.255.243.11 is Regions Bank)</font></div><div><font class="Apple-style-span" size="2">And it is sending a string of 'AAAAAAAAAAAAAA' (14 As) to the ip address '205.255.243.11' port 80</font></div><div><br></div><div><br></div><div>So it looks like they are setting up for a DDOS attack best I can see.  Dude asked me if there are any other files he should look for.  The best I could tell is it could write files with the rights of apache, but it looked like it was designed to only write files in the web-root directory of the hacked site.</div><div><br></div><div>Do you have any suggestions/thoughts on what other prudent things to check?</div><div><br></div><div>Anyone?  Anyone? Anyone?  Buelller?  Bueller?  Bueller?</div><div><br></div><div><br></div><div><br></div><div>And the weird part of the code I really did not see the point of was this function embedded in a conditional statement:</div><div><div>        function pack_str($str, $len)</div><div>        {</div><div>                $out_str = "";</div><div>                for($i=0; $i<$len; $i++)</div><div>                {</div><div>                        $out_str .= pack("a$len", ord(substr($str, $i, 1)));</div><div>                }</div><div>                return $out_str;</div><div>        }</div></div><div><br></div><div><br></div><div>and it did not look like it was being used at all.  Even DDOS attackers are under a deadline and end up writing crappy code, perhaps?</div><div><br></div><div>Keith</div><div style="font-size: medium; font-family: Helvetica; "><br></div><div style="font-size: medium; font-family: Helvetica; "><br></div><div style="font-size: medium; font-family: Helvetica; "><br></div></div><br><div><div id="SkyDrivePlaceholder"></div>> Date: Thu, 18 Oct 2012 02:00:52 +0000<br>> From: cluon@geeklabs.com<br>> To: chugalug@chugalug.org<br>> Subject: [Chugalug] d@mn scammers/hackers<br>> <br>> <br>> The little Linode slice that hosts chugalug.org<br>> and a handful of other sites had a Joomla install brute forced.<br>> Actually nailed on October 10th, but they did not<br>> install and abuse things until yesterday.<br>> <br>> The apache logs show many many thousands of login/password attempts<br>> on the two joomla sites on this system... from only two IP's. in rapid <br>> succession. and they finally got one. Then they uploaded a new theme, with <br>> some extra functionality in the files.<br>> <br>> Note: Both IP's were from static ip leasing services. That's a new twist <br>> to me... usually they are from another hacked server.<br>> <br>> And then they went "Bank of America Customer Fishing"<br>> This server was only a relay, it's some interesting code.<br>> <br>> As many of you are also hosting/using Joomla and other content management <br>> systems, you might want to look at your logs. Moving your login/admin<br>> urls is the first step, there are many more worth taking.<br>> <br>> I'm out of the internet / web hosting / security business and yet, since <br>> the beginning of September, I've been involved in 6 comprimises, 2 of which, <br>> like this one, I was partially responsible for some part of the system.<br>> The others I was just called in to help clean up afterwards.<br>> <br>> My relevant almost on topic point is: It seems to me the intensity, focus <br>> and volume of hacks, comprimises and abuses have seeming increased <br>> significantly.<br>> <br>> Be careful out there. I'm putting my uber-paranoid hat on after<br>> about 10 years of not wearing it (all the time), you should also.<br>> <br>> The not so nice people are out to get us all. All of us.<br>> <br>> <br>> _______________________________________________<br>> Chugalug mailing list<br>> Chugalug@chugalug.org<br>> http://chugalug.org/cgi-bin/mailman/listinfo/chugalug<br></div>                                        </div></body>
</html>