Intento de ataque

/ arrodas

Ayer, recibí un post de lo más raro:

Autor : Bill Gates','billy@msn.com','','63.23.12.12','2008-03-07 18:07:08','2008-03-07 18:07:08','','0','Mozilla/4.0(compatible; MSIE 5.0; Windows 98; DigExt)','comment','0','0'),('0', '', '', '', '', '2008-03-08 18:07:08', '2008-03-08 18:07:08', '', 'spam', '', (IP: 64.191.63.181 , titania.hostingmadeeasy.com)
E-mail :
URL : http://None
Comentario:
<strong>None...</strong>

Tiene toda la pinta de tratar de reventarme alguna vulnerabilidad de la web, sin éxito obviamente.

El pollo que lo ha hecho, lo intentó desde la IP 64.191.63.181 , que al principio parecía un broma, pues tiene sede en Scranton, como The Office (serie muy recomendable). Aquí vemos las trazas de Apache:

64.191.63.181 – – [08/Mar/2008:00:07:12 +0100] “POST /wp-trackback.php HTTP/1.1” 200 135 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”

Acaba de hacer un post, pero no le sirve de nada…

64.191.63.181 – – [08/Mar/2008:00:07:13 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:13 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:13 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:14 +0100] “GET /wp-trackback.php?p=162 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:14 +0100] “GET /wp-trackback.php?p=1 HTTP/1.1” 200 135 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:14 +0100] “GET /wp-trackback.php?p=2 HTTP/1.1” 200 135 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:15 +0100] “GET /wp-trackback.php?p=3 HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:15 +0100] “GET /wp-login.php?action=logout HTTP/1.1” 302 – “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”

Aquí se lo ha pasado pasado pipa buscando una URL, además de tratar de hacer un logout… ¿de qué usuario?

64.191.63.181 – – [08/Mar/2008:00:07:16 +0100] “POST /wp-trackback.php?p=3 HTTP/1.1” 200 78 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”
64.191.63.181 – – [08/Mar/2008:00:07:16 +0100] “POST /wp-trackback.php?p=3 HTTP/1.1” 500 656 “-” “Mozilla/4.0 (compatible; MSIE 5.00; Windows XP Service Pack 2)”

Ahí está el método POST con el que ha hecho el comentario. Como tengo moderación, no le ha servido de nada, pues hasta que no lo apruebo, no aparece… Si la cosa persiste, veré si poner unos capchas o similar.

Por cierto, si probáis la web titania.hostingmadeeasy.com, aparece un CPanel mal configurado...

Leave a comment