Webworm wieder da?

Beitrag von **Moddy** » 13.01.2005, 19:23

Gerade schaue ich in meine Logs, und es ist (war) gerad jemand Online der diese:

/viewtopic.php?p=156&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20echo%20'Ff8F2HhJ4SgYu1gLx6Ffv'%3Efoot39dx6.tmp;cat%20foot39dx6.tmp;rm%20-f%20foot39dx6.tmp;whoami;pwd%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48

Adresse aufgerufen hat, oder ist die normal, denn so eine kenne ich nicht ausm Forum

@Mods
Sorry das die adresse so lang ist, aber wenn sie gebrochen ist erkennts wahrscheinlich keiner ...

Edit Ip ist 66.33.205.4 [hops.dreamhost.com]

von **Anzeige von ABAKUS** »

Beitrag von **Pompom** » 13.01.2005, 20:48

Das war der Versuch, über dein PHP eine Datei zu schreiben, diese anzuzeigen und zu löschen.

Hintergrund ist die Installation eines Bots auf deinem Server, wenn es klappt.
Suche mal nach Santy.B für phpBB oder guck dir mal das Tier hier an:
https://vdb.dragonsoft.com/exploit/Santy.B.html

Im Normalfall müsste da auch noch ein wget-Befehl kommen, mit dem Server, von dem der Exploit geladen werden sollte.

Dem betroffenen Betreiber solltest Du dies mal mitteilen, dass von seinem Server Angriffe erfolgen (viele werden dazu missbraucht).

Beitrag von **Moddy** » 13.01.2005, 22:17

Jo die kannte ich ja, doch ist diesmal die Anfrage anders

Beitrag von **Ice Man** » 13.01.2005, 22:29

Mein Antiwurm Mod hat noch nix gemeldet

( jedenfalls heute noch nicht )

meines wissens schädigt es nur alte php Versionen und phpbb < 2.0.10