Hmmm,
also bedeuted das, dass besagte wget Aufrufe durch Mißbrauch der viewtopic.php stattgefunden haben ?
Also in Wahrheit nie shell access ergaunert wurde, sondern alle Befehle mittels viewtopic.php ausgeführt wurden ?
Alle besagten bösen viewtopic.php Gebräuche in der haha.txt.
Edit:
Hier ein paar "übersetzte" Befehle:
Ich möcht nicht wissen, wie oft ich dem Serverholder gepredigt hat, dass er niemals via root account mysql connecten sollte
(config.php)
Najo, sei Schuld.
Und noch was gefunden:
Zitat:
"GET /privmsg.php?folder=savebox&mode=read&p=99&pm_sql_u ser=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%%2020null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, nul HTTP/1.1" 302
"GET /privmsg.php?folder=savebox&mode=read&p=99&pm_sql_u ser=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%%2020null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, nul HTTP/1.1"
|
Das hab ich schon mal gesehen, und zwar in einer Hacking Anleitung von phpBB. Also war phpBB die Schwachstelle - für was gibts Updates bitte? arghl
Zusatzfrage:
Die IPs sind natürlich gespeichert, eine ist klar zuordnungsbar, zwar eine dynamische IP aus Dallas, dennoch kein anon-proxy.
Spoofing sollte nicht möglich sein, da auf dem GNU/Linux server auch eine iptables firewall gelaufen ist.
Tjo, ich schätz mal dies als Musterbeispiel geltend zu machen, was passiert, wenn man ein Script benutzt, das fehleranfällig ist und vorallem, nicht upzudaten und deppat root details zu nutzen, um mysql auszuführen.
Irgend eine Chance, mit den IPs den Verursachern zumindest auf die Finger zu klopfen ?