Здрасти, съвсем накратко - виновен е стария познайник phpBB. От няколко дена се разпространява worm,който засяга версиите преди 2.0.11. Ето линк с подробности: http://www.kb.cert.org/vuls/id/497400 Решението е да се обнови версията на phpBB,но (би трябвало да) може и така:
RewriteEngine On RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR] RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) RewriteRule ^.*$ - [F] On Wednesday 22 December 2004 09:56, Danail Petrov wrote: > Здравейте, > искам да попитам, има ли възможност да се пусне apache (или друг уеб > сървър) във /fakeroot , като обаче целта е всички виртуални домейни > да бъдат в отделен /fakeroot ? > До сега ползвах станадртно apache с конфигурирани виртуални домейни, но > днес сутринта при отварянето на една от страниците която се > хоства на въпросната машина видях това: > > This site is defaced!!! > NeverEverNo Sanity WebWorm generation 18 > > Това беше default index.html на всички уеб страници...... вярно че > машинката си беше занемарена малко , и от близо 1 година нищо не беше > пипано по нея , но...... сега ще трябва да се оправи тази каша. > Ето какво намерих в лог файловете. Според мен са ползвали "дупка" в > някой .php (на машината има няколко сайта с 'eXoops'): > > --13:44:45-- http://dhaenk.port5.com/bin.tar.gz > => `bin.tar.gz' > Resolving dhaenk.port5.com... done. > Connecting to dhaenk.port5.com[212.15.85.21]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 1,153,967 [application/x-tar] > > 0K .......... .......... .......... .......... .......... 4% > 14.48 KB/s > 50K .......... .......... .......... .......... .......... 8% > 12.15 KB/s > 100K .......... .......... .......... .......... .......... 13% > 9.07 KB/s > 150K .......... .......... .......... .......... .......... 17% > 11.07 KB/s > 200K .......... .......... .......... .......... .......... 22% > 10.29 KB/s > 250K .......... .......... .......... .......... .......... 26% > 14.41 KB/s > 300K .......... .......... .......... .......... .......... 31% > 9.25 KB/s > 350K .......... .......... .......... .......... .......... 35% > 7.07 KB/s > 400K .......... .......... .......... .......... .......... 39% > 13.14 KB/s > 450K .......... .......... .......... .......... .......... 44% > 10.39 KB/s > 500K .......... .......... .......... .......... .......... 48% > 7.16 KB/s > 550K .......... .......... .......... .......... .......... 53% > 10.24 KB/s > 600K .......... .......... .......... .......... .......... 57% > 10.99 KB/s > 650K .......... .......... .......... .......... .......... 62% > 12.40 KB/s > 700K .......... .......... .......... .......... .......... 66% > 6.04 KB/s > 750K .......... .......... .......... .......... .......... 70% > 16.13 KB/s > 800K .......... .......... .......... .......... .......... 75% > 8.19 KB/s > 850K .......... .......... .......... .......... .......... 79% > 8.18 KB/s > 900K .......... .......... .......... .......... .......... 84% > 6.03 KB/s > 950K .......... .......... .......... .......... .......... 88% > 11.16 KB/s > 1000K .......... .......... .......... .......... .......... 93% > 27.44 KB/s > 1050K .......... .......... .......... .......... .......... 97% > 16.55 KB/s > 1100K .......... .......... ...... 100% > 8.34 KB/s > > 13:46:37 (10.07 KB/s) - `bin.tar.gz' saved [1153967/1153967] > > ==> Fakename: /usr/sbin/httpd PidNum: 12821 > [Tue Dec 21 20:01:50 2004] [notice] SIGHUP received. Attempting to restart > [Tue Dec 21 20:01:59 2004] [notice] Digest: generating secret for digest > authentication ... > [Tue Dec 21 20:01:59 2004] [notice] Digest: done > > > [Tue Dec 21 20:11:39 2004] [notice] Apache/2.0.40 (Red Hat Linux) > configured -- resuming normal operations > [Tue Dec 21 20:11:39 2004] [info] Server built: Feb 25 2003 05:01:56 > [Tue Dec 21 20:11:39 2004] [debug] > /usr/src/build/228504-i386/BUILD/httpd-2.0.40/server/mpm/prefork/prefork.c( >1039): AcceptMutex: sysvsem (default: sysvsem) > String found where operator expected at m1ho2of line 2, near > "$ts[int(rand(@ts))] . '" > (Might be a runaway multi-line '' string starting on line 1) > (Missing semicolon on previous line?) > syntax error at m1ho2of line 2, near "$ts[int(rand(@ts))] . '" > Bad name after D' at m1ho2of line 2. > String found where operator expected at m1ho2of line 2, near > "$ts[int(rand(@ts))] . '" > (Might be a runaway multi-line '' string starting on line 1) > (Missing semicolon on previous line?) > syntax error at m1ho2of line 2, near "$ts[int(rand(@ts))] . '" > Bad name after D' at m1ho2of line 2. > String found where operator expected at m1ho2of line 2, near > "$ts[int(rand(@ts))] . '" > (Might be a runaway multi-line '' string starting on line 1) > (Missing semicolon on previous line?) > syntax error at m1ho2of line 2, near "$ts[int(rand(@ts))] . '" > Bad name after D' at m1ho2of line 2. > [--cut--] > > на единия сайт дори бяха си ъплоаднали shell.php :) (сещате се какво > прави това ....) > та ... все от някъде трябва да го захвана , въпроса е от къде... > > > Ще се радвам да чуя вашите мниения по въпроса , както се надявам и на > съвети от ваша страна. > > Поздрави, > Данаил Петров > > > > > > > =========================================================================== >= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara > Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > =========================================================================== >= ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================