Esto es el colmo… mirando mi access.log del apache me he encontrado con lo siguiente:

204.***.***.*** – - [22/Jul/2009:10:01:18 +0200] “GET /phpmyadmin/INSTALL HTTP/1.1″ 404 216 “-” “M Fucking Scanner.”
204.***.***.*** – - [22/Jul/2009:10:01:18 +0200] “GET /myadmin/INSTALL HTTP/1.1″ 404 213 “-” “M Fucking Scanner.”
204.***.***.*** – - [22/Jul/2009:10:01:19 +0200] “GET /admin/INSTALL HTTP/1.1″ 404 211 “-” “M Fucking Scanner.”
204.***.***.*** – - [22/Jul/2009:10:01:19 +0200] “GET /phpMyAdmin/INSTALL HTTP/1.1″ 404 216 “-” “M Fucking Scanner.”

Ya tengo muy vistos los scanners que buscan phpmyadmins o similares y como que ya paso, pero este en especial me ha tocado la moral. ¿Si haces algo, hazlo bien no? Que es ese useragent tan CUTRE? ¿Se piensa que es el IMBA HAXXOR OF DA DEATH?

Lo primero que he hecho es ver “que tiene” con un nmap

PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.52 ((CentOS))
|_ html-title: Apache HTTP Server Test Page powered by CentOS
1863/tcp open msnp?
5190/tcp open aol?

Ummm al abrir la direccion con un browser aparece la pagina por defecto de apache, asi que, una vez mas, han rebentado un novatillo que no securiza su sistema.
Que pasara si pongo /phpmyadmin/ ?


Al abrir la pagina de “No te sabes el login y mereces morir” pude ver la version que era (realmente antigua) y hice la visita standard a milw0rm:

http://www.milw0rm.com/exploits/8992

Este exploit parece que deberia de ir… ¿el haXX0r novato habra modificado el codigo? Me jugaria alguna parte de mi cuerpo a que no. Veamos que hace el exploit… 

 FWrite($Handlex, "\n[!] w00t! w00t! You should now have shell here"); FWrite($Handlex, "\n[+] ".$w00t."config/config.inc.php?c=id \n");

¿Sera posible?¿Funcionara?


Ahora se me presentan un par de dudas existenciales:

¿Deberia de avisar al propietario y de que forma?
¿Seria etico que, cuando se detectan escaneos de este tipo, utilizar los exploits publicos para “rehackear” la maquina atacante y “limpiarla”?