Poiché @HendrikBrummermann già evidenziato nei commenti, si è trattato di un tentativo di sfruttare register_globals su un server web abilitato PHP.
Il server che eseguiva la richiesta che finiva nei log del tuo server web, così risultò, era semplicemente un server Web infetto in esecuzione in modalità zombie, eseguendo un bot stealth controllando i possibili vettori di attacco su server Web ignari su Internet per conto di di più grande botnet , controllato attraverso un LeaseWeb BV, il server di comando e controllo in Olanda ha un IP di 87.255.51.229 che ospita centinaia di domini sospetti . Secondo Spamhaus CBL , il server con un IP 94.199.51.7 situato a Budapest, Ungheria è stato infettato da Trojan Hermes:
Hermes is a banking trojan aimed to steal credentials for online
banking accounts. It spreads through hijacked websites (drive-by
exploits) and malicious email attachments.
Ho analizzato un po 'il comando di comando e controllo di questa botnet e sta eseguendo un Desktop remoto VNC sulla porta 5900, il che significa che è controllato anche da una posizione remota a noi sconosciuta. Ma questo è oltre il punto, poiché è abbastanza normale che tali reti criminali passino semplicemente a un'altra società di hosting, se e quando a chi si affida ora è richiesto dalla legge di agire. Poiché le società di hosting non amano particolarmente agire fino a quando non sono assolutamente costrette a farlo, questo potrebbe non essere nella lista delle cose da fare. Quello che più probabilmente accadrà è che l'attuale IP della botnet sarà contrassegnato come nella lista nera in troppi RBL s per sentirsi a proprio agio operando da ( stato live ) e sposta il comando e il controllo in un'altra società di hosting.
Quindi, in breve, la linea sospetta nei log del tuo server web era solo uno dei vettori di attacco a cui tali botnet sarebbero sottoposti a scansione, cercando i modi per sfruttare i server web. Se l'acquisizione fosse andata a buon fine, la prossima persona che avrebbe aperto la tua pagina web sarebbe stata reindirizzata al server zombie sfruttato a Budapest, in Ungheria e la botnet avrebbe saputo che il tuo server web era quindi sfruttabile controllando la stringa di riferimento. Tuttavia, il tuo server web non era ovviamente il frutto basso che speravano di sfruttare facilmente, almeno non attraverso questo particolare buco di sicurezza PHP. Botnet non si preoccupa e ha continuato a esaminare migliaia di altri host quando hai finito di leggere la mia ultima frase.
Solo un altro giorno sul WWW. ;)