5.2.08

Zombie-Rechner?


Eine Liste von Webadressen, gefunden in dem Error-Log des Webservers meiner Firma. Der Aufruf der Adresse produziert die Zeile <?php echo md5("just_a_test");?>. Offenbar handelt es sich um gehackte Rechner, die von einem Netzwerk für kriminelle Aktivitäten mißbraucht werden. Den betreffenden Webmastern ist nur zu raten schnellstens die betroffenen Verzeichnisse zu löschen und die Sicherheit für den Server zu erhöhen.

http://www.northfans.ch/forum/admin/settings/gucor/ujusu/
http://sahel55.com/articles/omaduro/kimumid/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/uza/laqipu/
http://www.pattibus.it/phplib-7.2b/pages/ilosi/dohigal/
http://www.felixtorresycia.com/admin/correo/enaq/ecib/
-------------------------------------------
http://www.tureksfuar.com.tr/joomla/mambots/content/ugi/vipo/
http://www.service-exposants.com/store/punotag/ufacip/
http://www.vacacionalhouse.com/en/img/vohe/seyon/
http://sinzinuri.com/imsi/db/pic/bezefi/ugoye/
http://www.heaven-house.kz/templates_c/sexes/afacub/
http://www.altaiseer-eg.com/ar/articles/jed/umut/
http://www.sectoranime.com.mx/galeria/include/nokuc/kef/
http://www.channelnewsperu.com/imagenes/publicaciones/fotos/nepicu/egul/
-------------------------------------------
http://www.feliciano.de/Webgalerie/bilder/Italy/ema/budo/
http://www.elettrodataservice.it/foto_articoli/qad/osuvuxo/
http://www.molod.net.ru/forum/templates/subSilver/images/esoxod/qiwehic/
http://tamatjita.com/elearn/task/sibid/xozi/
http://www.felixtorresycia.com/admin/correo/enaq/zonod/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/uza/cevaz/
http://mslayouts.ws/icons/administrator/components/com_menus/aruyi/nejut/
http://www.stomol.ru/catalog/afa/cupem/
http://www.service-exposants.com/store/punotag/iqic/
http://www.meexia.com/blog/wp-content/themes/squares/novofor/tulatu/
http://www.spoddyland.co.uk/scans/youneedtoselectaplanettoclaimbeforegettinginhere/scanlogs/iru/bimorac/
http://www.soeasywebsite.com/soeasycasino/maj/pepus/
http://www.vacacionalhouse.com/en/img/gaham/edipa/
http://www.municipioxii.it/sunnyway/eheqebi/tigogo/
http://www.syntasoft.com/forum/Themes/olipob/eci/
http://www.psikolojikyardim.org/etkinlik/include/vukahac/iri/
http://www.pattibus.it/phplib-7.2b/pages/ilosi/wozokeg/
http://www.interkonet.com/enxicmarxant/web/editor/scripts/icons/iliki/owixu/
http://www.altaiseer-eg.com/ar/articles/ufigaj/nejaja/
http://www.qubestunes.com/te/ratov/omuley/
http://www.elettrodataservice.it/foto_articoli/onoda/iyegimi/
http://www.marsbook.co.kr/main/created/product/2/upu/ohoqoh/
http://sans-packing.ru/img/jipeqap/ehudute/
http://www.channelnewsperu.com/imagenes/publicaciones/fotos/nepicu/egul/
http://www.syntasoft.com/forum/Themes/rowizah/nisahuc/
http://www.meexia.com/blog/wp-content/themes/squares/novofor/hiviga/
http://tamatjita.com/elearn/task/riseb/avej/
http://lnx.sarapica.net/art/ufo/uco/
http://www.electrofed.com/_app/efc/odoqu/ferus/
http://www.alonsaunet.com/webmaster/romi/jirudog/
http://www.sectoranime.com.mx/galeria/include/nokuc/kef/
http://www.altaiseer-eg.com/ar/articles/jed/umut/
http://www.cjp.spb.ru/en/tis/leboma/
http://www.psikolojikyardim.org/etkinlik/include/eto/nixaz/
-------------------------------------------
http://tamatjita.com/elearn/task/riseb/avej/
http://www.felixtorresycia.com/admin/correo/enaq/ecib/
http://www.molod.net.ru/forum/templates/subSilver/images/esoxod/riwezin/
http://www.psikolojikyardim.org/etkinlik/include/eto/nixaz/
http://www.syntasoft.com/forum/Themes/rowizah/nisahuc/
http://www.municipioxii.it/sunnyway/eheqebi/jahibop/
http://www.cjp.spb.ru/en/tis/leboma/
http://www.altaiseer-eg.com/ar/articles/jed/umut/
http://www.sectoranime.com.mx/galeria/include/nokuc/kef/
http://www.alonsaunet.com/webmaster/romi/jirudog/
http://www.electrofed.com/_app/efc/odoqu/ferus/
http://www.channelnewsperu.com/imagenes/publicaciones/fotos/nepicu/egul/
http://sans-packing.ru/img/jipeqap/ehudute/
http://www.marsbook.co.kr/main/created/product/2/upu/ohoqoh/
http://www.qubestunes.com/te/ratov/omuley/
-------------------------------------------
-------------------------------------------
http://lnx.sarapica.net/art/ufo/uco/
http://www.agv-schaafheim.de/gallery/data/media/kucicuq/jimum/
http://www.fabcraft.co.uk/forum/lovuqo/zil/
http://www.przedszkolenr8.elk.pl/pics/organizacja/help/Dj-NeuxBJJTtuGvgCJCZ4_YozcI0O_Cn060E2hupFyTDb0-sDDsmEn-qJ4SnwY/akewami/gav/
http://www.spoddyland.co.uk/scans/youneedtoselectaplanettoclaimbeforegettinginhere/scanlogs/iwazex/atepec/
http://www.centralbalkannationalpark.org/images/generated/alojul/ure/
http://oxymaster.net/pr_images/tap/uyo/
http://www.sfolly.net/chat/data/private/chat/asaz/odofe/
http://www.asigurareamea.ro/upload_fisiere/agihixu/bezodan/
http://www.elettrodataservice.it/foto_articoli/onoda/iyegimi/
http://www.yosstek.com/ganizzyextremeblog/wp-content/themes/default/iqexepo/azi/
http://www.kmoy.ee/ftp/yatex/tuj/
http://www.meexia.com/blog/wp-content/themes/squares/novofor/hiviga/
http://www.flower8955.com/pay/log/tece/eko/
http://www.lucius-hartmann.ch/java/javavoci/temp/abeta/ageced/
http://da.bluebananas.net/ville/images/tuno/mibufat/
http://www.novori.com/images/products/main/sel/owag/
http://www.meijers.com/images/products/mor/dawo/
http://www.scrappindancediva.com/etoad/manufacturerimages/hoq/uxi/

Ursprünglich gepostet am 16.10.07, ergänzt am 30.01.08, 31.01.08, 01.02.08, 05.02.08

Kommentare:

mondfish hat gesagt…

Bei mir tauchen diese URLs auch auf, und zwar im $_GET Array bei Seitenaufrufen meines PHP CMS.

Was hat das zu bedeuten?

Könnten das Hackversuche sein?

martinf hat gesagt…

ich vermute ja! wenn ich die webseiten http://forums.thedailywtf.com/forums/t/7680.aspx und http://uhacc.org/~mongoose/xss2.txt richtig interpretiere, geht es darum, irgendwelche php-skripte einzuschleußen, die dann malware herunterladen - was meine firma aber nicht betrifft, weil das cms nicht mit php arbeitet. habe aber trotzdem ein paar skripte eingebaut, damit mir die gefälschte parameter-übergabe nicht dauernd fehlermeldungen auswirft, also kriegen alle parameter, die mit "http" anfangen, bewußt eine leere html-seite angezeigt

mondfish hat gesagt…

Ich validiere alle Parameter die ans CMS gesendet werden, dadurch können die URLs keinen Schaden anrichten. Ist das eigentlich "normal", dass diese Methode momentan so massiv auftaucht?

Anonym hat gesagt…

siehe z.B.: http://www.feliciano.de/Webgalerie/bilder/Italy/ema/duja/

Anonym hat gesagt…

eine detaillierte erkärung mit lösungsvorschlag
hab ich hier gefunden:

www.whyron.com/http.htm

mondfish hat gesagt…

Prima Tipp, danke für diesen hilfreichen Link!