Seite 1 von 1
Webworm wieder da?
Verfasst: 13.01.2005, 19:23
von Moddy
Gerade schaue ich in meine Logs, und es ist (war) gerad jemand Online der diese:
Code: Alles auswählen
/viewtopic.php?p=156&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20echo%20'Ff8F2HhJ4SgYu1gLx6Ffv'%3Efoot39dx6.tmp;cat%20foot39dx6.tmp;rm%20-f%20foot39dx6.tmp;whoami;pwd%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48
Adresse aufgerufen hat, oder ist die normal, denn so eine kenne ich nicht ausm Forum
@Mods
Sorry das die adresse so lang ist, aber wenn sie gebrochen ist erkennts wahrscheinlich keiner ...
Edit Ip ist 66.33.205.4 [hops.dreamhost.com]
Verfasst:
von
SEO Consulting bei
ABAKUS Internet Marketing Erfahrung seit 2002
- persönliche Betreuung
- individuelle Beratung
- kompetente Umsetzung
Jetzt anfragen:
0511 / 300325-0.
Verfasst: 13.01.2005, 20:48
von Pompom
Das war der Versuch, über dein PHP eine Datei zu schreiben, diese anzuzeigen und zu löschen.
Hintergrund ist die Installation eines Bots auf deinem Server, wenn es klappt.
Suche mal nach Santy.B für phpBB oder guck dir mal das Tier hier an:
https://vdb.dragonsoft.com/exploit/Santy.B.html
Im Normalfall müsste da auch noch ein wget-Befehl kommen, mit dem Server, von dem der Exploit geladen werden sollte.
Dem betroffenen Betreiber solltest Du dies mal mitteilen, dass von seinem Server Angriffe erfolgen (viele werden dazu missbraucht).
Verfasst: 13.01.2005, 22:17
von Moddy
Jo die kannte ich ja, doch ist diesmal die Anfrage anders
Verfasst: 13.01.2005, 22:29
von Ice Man
Mein Antiwurm Mod hat noch nix gemeldet
( jedenfalls heute noch nicht )
meines wissens schädigt es nur alte php Versionen und phpbb < 2.0.10
