<p dir="ltr">I did this.</p>
<p dir="ltr">People need to create IDs!<br>
</p>
<div class="gmail_quote">On May 11, 2016 8:46 AM, "Sandro Santilli" <<a href="mailto:strk@keybit.net">strk@keybit.net</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I spotted a new user which was created _after_ we put the form<br>
back to maintainance mode. The POST was directly done to the<br>
renamed script. I think the renamed script URL was at some point<br>
found in the form but I don't know who made the change.<br>
<br>
The files modification dates are (UTC):<br>
<br>
   May 10 06:41 for the renamed script with exposed new url<br>
   May  9 13:39 for the renamed script with no exposed new url<br>
   May  9 18:31 when the form was put in maintainance mode<br>
<br>
The POST to renamed script happened 24 hours after the exposed url<br>
<br>
   11/May/2016:05:54:01 -0700<br>
<br>
And resulted in the creation of a "vvk" user (with .ru email address):<br>
<br>
   createTimestamp: 20160511125401Z<br>
<br>
The POST came from ip 77.242.110.178, which also issued a GET<br>
for the the renamed-form URL at:<br>
<br>
   11/May/2016:05:51:36 -0700<br>
<br>
The very first request to the renamed script was issued on<br>
<br>
   [09/May/2016:22:59:33 -0700] from 173.247.202.130<br>
   That is:  May 10 05:59 UTC<br>
<br>
For now I removed the execute bit from the disabled script, but let<br>
me know if it was an "internal" backdoor legitimately used.<br>
<br>
--strk;<br>
_______________________________________________<br>
Sac mailing list<br>
<a href="mailto:Sac@lists.osgeo.org">Sac@lists.osgeo.org</a><br>
<a href="http://lists.osgeo.org/mailman/listinfo/sac" rel="noreferrer" target="_blank">http://lists.osgeo.org/mailman/listinfo/sac</a></blockquote></div>