PDA

Bekijk Volledige Versie : Aanval op apache van "IMHTTP" ?



Wido
24/03/05, 13:26
Hallo,

Al ongeveer 24 uur lang wordt onze website (www.pcextreme.nl) aangevallen door een soort worm lijkt het.

Het volgende wordt constant opgevraagd:


213.75.12.42 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
68.13.211.102 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
165.98.145.134 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
80.55.154.66 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
83.16.196.114 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
68.225.250.6 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.100.156.217 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
62.45.231.50 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
200.117.239.163 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
83.192.72.32 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
161.139.115.5 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
212.25.90.101 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
83.130.207.127 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.13.211.102 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
62.254.0.12 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
69.141.118.196 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
65.29.93.179 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.100.156.217 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.0" 200 17020 "-" "IMHTTP"
200.50.114.10 - - [23/Mar/2005:16:24:06 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"

En zo gaat het al uren door.

Dat hele bestand + pad bestaat niet bij ons, maar het blijft maar doorgaan?

Ik heb nu maar een mooi bash script gemaakt dat deze hosts allemaal uit de access_log vist en ze blokkeerd in de firewall.

Ik heb op Google al gezocht, maar er valt niets te vinden?

Hebben andere mensen ook last hiervan?

jinxedworld
24/03/05, 14:53
http://www.imesh.com/autoupdate/ca/update151.ini

Dit is een van de weinige overeenkomsten welke ik heb gevonden over het bestand update151.ini . Mischien heb je er wat aan?