[Allegro] mutmaßlicher Exploit-Versuch

Birgit Frenz frenzb at ulb.tu-darmstadt.de
Mo Aug 18 09:42:32 CEST 2014


Liebe Liste,

bei uns gab es in den letzten Tagen auf unsrem Avanti-Server wiederholt 
eine große Anzahl an apache2 und avanti-Prozesse bis zum DoS für die 
virtuellen HTTP-Hosts.

Bei der Analyse der Logfiles fielen Einträge folgender Art auf, die in 
einigem zeitlichen Abstand von geographisch weitverteilten IP-Adressen 
mit dem jeweils gleichen User-Agent gestellt wurden.

[15/Aug/2014:20:38:16 +0200] "GET 
/tud/find.php?urG=%7C2%00%27%7C%7CSLeeP%283%29%26%26%271&urS=_department 
HTTP/1.0" 200 0 "-" "Opera/9.27"

Die Decodierung dieses URL-Encoded-Strings ergibt folgenden Wert:

     /tud/find.php?urG=|2'||SLeeP(3)&&'1&urS=_department

Wir gehen von einem Exploit-Versuch aus.

Ist dieses Problem bei Ihnen bekannt?

Viele Grüße
Birgit Frenz


-- 
----------------------------------
Universitäts- und Landesbibliothek
Elektronische Informationsdienste
Magdalenenstr. 8
64289 Darmstadt
Tel.: 06151 16 76225
e-mail: frenzb at ulb.tu-darmstadt.de


Mehr Informationen über die Mailingliste Allegro