es scheint mal wieder eine neue Version vom phpBB-Wurm unterwegs zu sein:
Diesmal mit Mozilla-User-Agent.69.64.38.39 - - [07/Feb/2005:12:07:53 +0100] "GET /forum/viewtopic.php?p=3910&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 403 217 "-" "Mozilla/4.0"
... und ich habe mich schon über die vielen Besucher im Forum gefreut, naja, jetzt habe ich meinen Wurmblocker angepasst und er bekommt nur noch ein 403 zu sehen.
RewriteCond %{QUERY_STRING} .*esystem.* [NC,OR]
RewriteCond %{QUERY_STRING} .*echr.* [NC,OR]
RewriteCond %{QUERY_STRING} .*passthru.* [NC,OR]
RewriteCond %{QUERY_STRING} %70%61%73%73%74%68%72%75
RewriteRule .* - [F,L]
Falls jemand das mit mod_rewrite besser kann, ich bin sehr interessiert.
Weiß jemand, ob es sich um eine neue Lücke handelt oder nur eine 'verbesserte' Version des Wurmes. Wie heiß er eigentlich nochmal?
Gruß,
Christophe