LINUX.ORG.RU

GET /nonexistenshit


0

0

Наткнулся на пачку таких запросов в логе сервера, поиск привел на stateofsecurity.com, цитата оттуда "The probes are originating from infected Linux systems world wide and appear to be spreading rapidly"

Это что - _работающий_ линукс-вирус?


Саму новость неплохо бы припечатать:

http://stateofsecurity.com/?p=550

Похоже, это дыра в отдельно взятом круглом кубе... Такие червяки и раньше были. Вот если б самба или апач пострадали, было бы хуже.

lodin ★★★★
()
Ответ на: комментарий от lodin

Про червя ничего не написано...

Проблема в том, что пару дней назад эти сканы roundcube уже были, но только сегодня они таки нашли мою инсталляцию:

194.126.172.90 - - [14/Jan/2009:16:27:00 +0300] "GET /roundcubemail/bin/msgimport HTTP/1.1" 200 2730 "-" "Toata dragostea mea pentru diavola(diavola is a girl and this is not a pbot or a browser)"

194.126.172.90 - - [14/Jan/2009:16:27:00 +0300] "GET /roundcubewebmail/bin/msgimport HTTP/1.1" 404 1047 "-" "Toata dragostea mea pentru diavola(diavola is a girl and this is not a pbot or a browser)"

Ну и, похоже, воспользовались:

79.32.56.41 - - [14/Jan/2009:16:34:17 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:16:34:24 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:17:56:14 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:17:56:20 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:17:56:27 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:06:52 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:06:56 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:06:56 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:07:13 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 494 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:07:32 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 1778 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:07:45 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:07:56 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 5027 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:08:22 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
79.32.56.41 - - [14/Jan/2009:19:12:29 +0300] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 200 50 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"


Интересно, что оно делает? в 5кб можно много чего интересного выполнить (релиз roundcube старый, ставил "на посмотреть", но мускул был выключен, как и сам почтовик).

Вот теперь гадаю, что оно интересного делало...

EmStudio
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.