Freitag, 11. November 2005, 22:17 Uhr

PHP-Wurm unterwegs

Beruhigend, dass es nicht immer nur Microsoft Windows trifft mit all diesem Wurm-Gezeugs

Wie ich in den letzten Tagen vermehrt in meinem error.log von Apache feststellen muss, wird mein Server zur Zeit mit Anfragen bombardiert:

[error] [client 84.134.213.41] File does not exist: /var/www/80/xmlsrv
[error] [client 84.134.213.41] File does not exist: /var/www/80/xmlrpc
[client 84.134.213.41] script '/var/www/80/xmlrpc.php' not found or unable to stat
[error] [client 84.134.213.41] File does not exist: /var/www/80/wordpress
[error] [client 84.134.213.41] File does not exist: /var/www/80/phpgroupware
[error] [client 84.134.213.41] File does not exist: /var/www/80/drupal
[error] [client 84.134.213.41] File does not exist: /var/www/80/blogs
[error] [client 84.134.213.41] File does not exist: /var/www/80/blog
[error] [client 84.134.213.41] File does not exist: /var/www/80/blog

Hier eine Übersicht der IPs von infizierten Hosts (ohne Anspruch auf Vollständigkeit):

193.80.52.154
62.240.244.200
64.81.144.43
62.234.191.205
211.131.219.126
210.183.235.133
61.19.31.42
212.199.214.20
84.134.213.41

Es scheint sich dabei um einen Wurm zu handeln, der eine XML-RPC-Lücke in PHP ausnutzt.

Übrigens: Folgende Befehle haben mir geholfen, die Liste „quick and dirty“ auszugeben:

cat /var/www/apache2/error.log |\ 
grep xmlrpc.php |\ 
cut -d ' ' -f2

Tags:
Labels: Uncategorized

Kommentar erfassen