[Nlnog] Botnet
ProServe - Peter Batenburg
peter at proserve.nl
Sat May 19 12:22:35 UTC 2007
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte
dedicated server bij ons.
Moet zeggen dat ik verrassend veel .nl machines tegen kom:
http://www.proserve.nl/~peter/botnet6.txt
Veel hosting toko's, dus vandaar dit mailtje.
Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de
userinfo nog het beste beeld.
Het is een flink netje, met ook flink wat power zo te zien.
In iedergeval, deze ircd draait op 217.160.203.83 poort 23.
Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe
het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache.
apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk:
perl 26331 apache 206u IPv4 15938897 TCP
x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs,
en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is.
Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
--
/- Met vriendelijke groet/With kind regards, -\
<- Peter Batenburg - ProServe B.V. - www.proserve.nl ->
\- tel: +31-78-6922222 - fax: +31-78-6922269 -/
More information about the NLNOG
mailing list