Снова сработал “поставок” установленный на ранее взломанном сайте.
На этот раз у хакера цель уже другая – подбор пароля к wordrpess сайтам (работа с другими движками аналогична) через уже взломанный сайт (мой).
В данном случае “бомбят” сайты расположенные на доменах 3его уровня вида *.com.au
(добавлено чуть позже, когда ещё один постовок сработал: “бомбят” вообще всё подряд – похоже базу доменов прочекали на признаки WP и теперь бомбят)
Поставок простой – при “закидывании” через POST запрос какого либо задания – оно не выполняется, как хотел бы того злоумышленник, а сохраняется для дальнейшего его анализа мною.
Кому интересно – скрипт к посту прилагается – изучайте (подозреваю мой сайт ломали таким же способом)
До кучи скину 3 разновидности скрипта, занимающиеся поиском и взлом “соседей” по хостингу (в случае плохой защищённости, например отсутствия OpenBaseDir).
host-hack-1.php
host-hack-2.php
host-hack-3.php
Т.к. все эти скриптики мне кинули добровольно, причём с не добрым умыслом – думаю имею моральное право их обнародовать 🙂

Ну и сам внедрённый post.php через который и кидаются на исполнение все вышеобозначенные скрипты ( не правда ли – очень простой 🙂 )

Далее цепочка думаю понятна – сайт ломается, в него внедряется post.php – и сам сайт становится звеном для взлома других. Далее всё работает в бесконечном цикле подменяя массив паролей.
Параллельно можно на взломанных сайтах подменить htaccess для сбора мобильного или поискового трафа, можно доров туды залить и через TDS уже тематический траф слить куда-нить, можно …….. в общем чего “выжать” с рабочих сайтов думаю вариантов куча

Ну вот – спалил рабочую тему зачем-то.