De com_yanc plugin is bij een van mijn klanten ook gehacked geweest waar op een gegeven moment ook een zooi IRC connecties van af kwam. Regards, Vincent Bruijnes NLISP Internet -----Original Message----- From: nlnog-bounces at nlnog.net [mailto:nlnog-bounces@nlnog.net] On Behalf Of ProServe - Peter Batenburg Sent: dinsdag 22 mei 2007 9:04 To: nlnog at nlnog.net Subject: [Nlnog] (Nog een) Botnet Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu iets groter: http://www.proserve.nl/~peter/botnet7.txt Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via welk script de machines gehacked zijn. Zoek naar rs_gallery plugin van Joomla! Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel dezelfde hosts verschijnen helaas :( On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/ _______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog