mork
21.07.03, 15:52
Hallo zusammen.
Ich habe heute eine Datei auf meinem System (Debian Woody) gefunden, die nicht von mir ist:
Hacked.html
Drinn steht:
Arabian_Sniper ****Z!
Als Owner ist www-data angegeben....
Kann es sein, dass sich jemand über ein schlecht Abgesichertes cgi-skript oder über php zugang verschafft hat.
Wurde wohl irgendwas mit dem Apache gemacht schätze ich.
Diese IPs haben die Datei kurz nach der erstellung aufgerufen:
cache8-5.ruh.isu.net.sa - - [20/Jul/2003:23:06:52 +0200] "GET /phpforum/Hacked.html HTTP/1.0" 200 21 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DVD Owner)"
cache7-5.ruh.isu.net.sa - - [20/Jul/2003:23:07:01 +0200] "GET /Hacked.html HTTP/1.0" 200 21 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DVD Owner)"
cs242797-38.houston.rr.com - - [20/Jul/2003:23:11:13 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "http://www.zone-h.org/defacements/onhold" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; YComp 5.0.0.0; Roadrunner)"
62.251.175.26 - - [20/Jul/2003:23:11:40 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "http://www.zone-h.org/defacements/onhold" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
242.147.226.200.in-addr.arpa.ig.com.br - - [20/Jul/2003:23:24:09 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "http://www.zone-h.com/defacements/onhold" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
endeavor.fujitsu.co.jp - - [20/Jul/2003:23:24:14 +0200] "GET /Hacked.html HTTP/1.0" 200 21 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; T312461)"
213.219.122.11 - - [20/Jul/2003:23:30:26 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "-" "Java1.3.1_02"
Ist das ein Wurm unter Linux (?????) ?
Hab ich schlechte Perl-Skripte geschieben??
Oder vieleicht unsichere Fremdsoftware installiert????
Kann mir da jemand weiter helfen?
Ich habe heute eine Datei auf meinem System (Debian Woody) gefunden, die nicht von mir ist:
Hacked.html
Drinn steht:
Arabian_Sniper ****Z!
Als Owner ist www-data angegeben....
Kann es sein, dass sich jemand über ein schlecht Abgesichertes cgi-skript oder über php zugang verschafft hat.
Wurde wohl irgendwas mit dem Apache gemacht schätze ich.
Diese IPs haben die Datei kurz nach der erstellung aufgerufen:
cache8-5.ruh.isu.net.sa - - [20/Jul/2003:23:06:52 +0200] "GET /phpforum/Hacked.html HTTP/1.0" 200 21 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DVD Owner)"
cache7-5.ruh.isu.net.sa - - [20/Jul/2003:23:07:01 +0200] "GET /Hacked.html HTTP/1.0" 200 21 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DVD Owner)"
cs242797-38.houston.rr.com - - [20/Jul/2003:23:11:13 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "http://www.zone-h.org/defacements/onhold" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; YComp 5.0.0.0; Roadrunner)"
62.251.175.26 - - [20/Jul/2003:23:11:40 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "http://www.zone-h.org/defacements/onhold" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
242.147.226.200.in-addr.arpa.ig.com.br - - [20/Jul/2003:23:24:09 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "http://www.zone-h.com/defacements/onhold" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
endeavor.fujitsu.co.jp - - [20/Jul/2003:23:24:14 +0200] "GET /Hacked.html HTTP/1.0" 200 21 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; T312461)"
213.219.122.11 - - [20/Jul/2003:23:30:26 +0200] "GET /Hacked.html HTTP/1.1" 200 21 "-" "Java1.3.1_02"
Ist das ein Wurm unter Linux (?????) ?
Hab ich schlechte Perl-Skripte geschieben??
Oder vieleicht unsichere Fremdsoftware installiert????
Kann mir da jemand weiter helfen?