Citat:
Originally posted by Lastbryggan@Dec 11 2003, 18:36
Fick via ftp'n se en fil som hade tillkommit i morse...
Filen heter "www.arplhmd.cjb" med filtillägget "net_023023"
När man söker på "arplhmd" på Google så står det ju helt klart att det handlar om hackers eller liknande.
Nån som har nån aning om vad det kan vara?
Är det en loggfil från något "kört program"?
// Mats
|
skulle vilja påstå att filen heter "www.arplhmd.cjb.net" med tillägget "_023023" isåfall. där
www.arplhmd.cjb.net representerar Brasilianska "underground"-gruppen arplhmd:s officiella websida, som egentligen ligger på "gratiswebhotellet" Angelfire under adressen
http://www.angelfire.com/pe2/arplhmd/ och tillägget "_023023" är en slumpad sträng som skapats i samband med att någon typ av script/program (förslagvis en exploit) gjord av arplhmd körts. med största sannolikhet alltså ingen från arplhmd som defacat er server utan möjligtvis någon scriptkiddie som tankat ner något av deras massexploit-scripts. (för övrigt listade bland Brasilianska
sites hackers)
vad jag kan hitta i sammanhang som förknippas med den där typen av filer på olika sajter så ser det ut som om filen i samtliga fall har något att göra med "Microsoft Data Access Internet Publishing Provider DAV 1.1"
EDIT: Tittar man dessutom längst ner på en av deras websidor så hittar man en länk till ett exploit script vid namn
iis5-WebDAV vilket möjligtvis skulle kunna vara något som är relaterat till det här.
Beskrivning av WebDAV-exploiten
en idé är att jämföra er uppsättning av programvara och se vilka deras senaste script är och på så sätt försöka närmare bekräfta vilken typ av exploit de användt sig av.
förslagsvis bör du behålla filen samt kolla i era överföringsloggar (både ftp- och webserver-loggar), kolla datum på filen och jämföra datumet (samt ev. tidpunkt) med andra filer i ert system för att försöka säkerhetsställa hur stor tillgång de (scriptet/ev hacker) lyckats komma över m.m