Likes: 0
16/07/06 01:38
Verleden week had ik hier al last van en vandaag weer.
er worden irc bots in de tmp geplaats en deze worden geprobeert uit te voeren.
Dit uitvoeren is niet mogelijk omdat de tmp hier tegen beveiligd is, echter loopt hierdoor wel de serverload behoorlijk op!
Nu vraag ik me af hoe ik er achter kan komen door wie (of wiens script) dit naar de tmp wordt geupload. (user apache:apche, dus daar hebben we niet veel aan)
Is dit op de een of andere manier te loggen?
:
Laatst gewijzigd door snaaps; 16/07/06 om 01:45.
16/07/06 01:55
zegt mod_security iets hierover? Kun je hier geen logs van opvragen?
16/07/06 01:56
mod_security is std niet geinstalleerd op deze server.
Dit i.v.m wat config problemen met mod_security
Tevens kwam in in de apache error logs veel errors tegen can not find xmlrpc.php
Lijkt er op dat de server wordt gescand naar dat bestand.
Via google kwam ik dit tegen:
http://forum.hardened-php.net/viewtopic.php?id=9
Wellicht hebben het een en ander met elkaar te maken
Laatst gewijzigd door snaaps; 16/07/06 om 02:06.
16/07/06 06:41
ps -auf ?
je moet ff alle lopende processen killen tmp leeghalen
server rebooten dan hoor je er geen last meer van te hebben
heb hier ook zelfde probleem gehad gefixed na de reboot
16/07/06 09:25
Als dat o.a nog steeds die bot3.txt (of nuked.txt, powsnow.txt) is, gok ik dat dat de exploit van mambo/mod_simpleboard is (zie het andere topic van je had gestart in het DA gedeelte).
16/07/06 14:00
Er ontzettend veel XSS vulnerable scripts (Mambo, Joomla, phpBB, ...). Ga in je HTTP logs eens op zoek naar remote HTTP GET requests (/index.php?parameter1=http://www.example.com/folder/cmd.txt, bijvoorbeeld).Oorspronkelijk geplaatst door snaaps
--
VEVIDA Services, http://www.vevida.com
