[Nlnog] (Nog een) Botnet
ProServe - Peter Batenburg
peter at proserve.nl
Tue May 22 07:04:25 UTC 2007
Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu
iets groter:
http://www.proserve.nl/~peter/botnet7.txt
Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via
welk script de machines gehacked zijn. Zoek naar rs_gallery plugin van
Joomla!
Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel
dezelfde hosts verschijnen helaas :(
On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
> Hoi,
>
> Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte
> dedicated server bij ons.
> Moet zeggen dat ik verrassend veel .nl machines tegen kom:
> http://www.proserve.nl/~peter/botnet6.txt
> Veel hosting toko's, dus vandaar dit mailtje.
> Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de
> userinfo nog het beste beeld.
> Het is een flink netje, met ook flink wat power zo te zien.
> In iedergeval, deze ircd draait op 217.160.203.83 poort 23.
> Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe
> het met de drones is afgelopen.
>
>
> Dit process viel op, en deze bleef ook draaien na een stop van apache.
> apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14
> /usr/sbin/httpd
>
> Met een lsof was het duidelijk:
> perl 26331 apache 206u IPv4 15938897 TCP
> x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
>
> Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en
> ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is.
> Mochten mensen iets vinden, hoor ik het graag.
>
> Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
>
>
--
/- Met vriendelijke groet/With kind regards, -\
<- Peter Batenburg - ProServe B.V. - www.proserve.nl ->
\- tel: +31-78-6922222 - fax: +31-78-6922269 -/
More information about the NLNOG
mailing list