<div dir="ltr"> I also thought the details on this backdoor were pretty weak.  I only read about the vulnerability last night but I did run the python script on all our webservers this morning and everything returned clean.<div>
<br></div><div style>James</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, May 10, 2013 at 1:27 PM, Pete Wright <span dir="ltr"><<a href="mailto:pete@nomadlogic.org" target="_blank">pete@nomadlogic.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 05/10/13 08:04, Jesse Callaway wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
but yeah if it's a binary install then checksumming would be a great<br>
first approach. what's scary about all this is there's no vulnerability<br>
that's been pointed out... just seems to magically infect<br>
<br>
</blockquote>
<br>
<br></div>
yea i agree with you on that jesse, as well as with bob's earlier point along the same lines.<br>
<br>
i gotta say i do like how this backdoor runs out of shared memory and apparently doesn't leave any traces of itself on the filesystem.  i'm certain that has been done before - but thought it was a pretty novel idea :)<span class="HOEnZb"><font color="#888888"><br>

<br>
-pete</font></span><div class="im HOEnZb"><br>
<br>
-- <br>
Pete Wright<br>
<a href="mailto:pete@nomadlogic.org" target="_blank">pete@nomadlogic.org</a><br>
twitter => @nomadlogicLA<br>
<br></div><div class="HOEnZb"><div class="h5">
______________________________<u></u>_________________<br>
talk mailing list<br>
<a href="mailto:talk@lists.nycbug.org" target="_blank">talk@lists.nycbug.org</a><br>
<a href="http://lists.nycbug.org/mailman/listinfo/talk" target="_blank">http://lists.nycbug.org/<u></u>mailman/listinfo/talk</a><br>
</div></div></blockquote></div><br></div>