Бекдорчик — «Gaara was here»

Гулял по шеллу, нашел файл malware.txt. Ну и решил заценить, чо нынче на саентах как малварь помечают. Нахожу в списке линк на такой вот файл (с именем update.php):

Ясно, пнятно. Видать попал в немилость из-за палевного вызова eval. Однако в файле есть заметные куски, которые вполне могли проиндексироваться гуглом:

Таки-да, находим еще парочку таких же скриптов. Теперь гуглим так:

Первый же результат - сайт zone-h, Хekkеренговое логово, где скриптокидиссы хвастаются свои дефейсами (разумеется, я там тоже зареган):

deface

Проверяем на каждом задефейсеном сайте наличие того самого файлика update.php. В 5 случаях успешно такой находим. Заливаемся. Можно продолжать бесконечно - гуглить вывод uname, разного рода метки в подобных бекдорах и т.д.

Мы же продолжим с этим дефейсером. Если есть дефейс, есть заливалка, то наверное где-то лежит и шелл. Так и есть. За пару секунд мы находим шелл дефейсера (modul.php в корне сайтенга). Нехитрое название, нехитрый дизайн:

def

Деобфусцируем, отправляем хеш пароля в cmd5, пасс - HN-Community (ну не удивительно...). Проверяем еще несколько сайтов из списка (теперь уже на наличие файла modul.php в корне) - и, вуаля, заливаем еще несколько шеллов. Никакого толку от таких шеллов нет, зато легко и ненапряжно. Типа easyhack.