phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Problem mit Hacker - eval sperren

Torsten Weiler mail at torsten-weiler.de
Mon Jan 22 20:23:11 CET 2007

Vorherige Nachricht: [php] Problem mit Hacker - eval sperren
Nächste Nachricht: [php] Problem mit Hacker - eval sperren
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo,
auf jeden Fall erst einmal "allow_url_fopen = off"! (was Lutz schon
andeutete)
Das hat allerdings nur Sinn wenn Du vorher das schädliche Script
findest.

Nicht mit Kanonen auf Spatzen schießen und locker bleiben! Nix mit
FORENCIES etc.
Bekannt wurde die Methode durch eine Wordpress <=2.0.2 'cache' shell
injection.

Steht im dem "gefundenen Script" noch mehr drin oder nur dieser Part?

>Hab in einem anderen Script folgendes gefunden:
>//a:9:{s:4:"lang";s:2:"en";s:9:"auth_pass";s:32:"d41d8cd98f00b204e98009
98ecf8427e";s:8:"quota_mb";i:0;s:17:
>"upload_ext_filter";a:0:{}s:19:"download_ext_filter";a:0:{}s:15:"error_
reporting";s:0:"";s:7:"fm_root";s:0:"";
>s:17:"cookie_cache_time";i:1171902116;s:7:"version";s:5:"0.9.3";}

Das sieht mir nach dem Simple File Manager jenseits der Version 1.0 oder
modifiziert aus, mit dem man allerlei Mist anstellen kann, der aber
nicht wirklich gefährlich ist. Schmeiß den tüchtig fix runter update
deine Foren, Blogsoftware etc. und wechsele Deinen Provider! 
Der bietet ja einen Super Mega Giganto Support ;-) 

Schau mal in deinen Logdateien ob du irgendwo so was "cmd.gif?&cmd=wget"
oder so "/tmp/boo", "/tmp/slave" ähnlich entdeckst.
Viele Wege führen in deinen Server so scheint es mir. **gggg**

Hacker äääh tschuldigung Cracker(Scriptkiddie der im Euroland ein paar
Ören verdienen möchte.) sind meist Fett, Faul, gefräßig und sitzen Pizza
fress.... vor dem Monitor. Es sollte eigentlich reichen wenn du dir den
DOCUMENT_ROOT mal genau anschaust. Dort liegt wahrscheinlich eine Datei
die nicht von Dir kommt. Achte einfach mal auf die Timestamp der
Dateien. 

Findest Du was kopier Dir das auf deinen Lokalen Rechner in einen
Quarantäne-Ordner und lösche die Datei dann online.
Vorher kannst Du Sie mal aufrufen um zu sehen was mit der Datei den so
losgeht. (Nu kann eh nichts mehr passieren was nicht schon ist!)
Außerdem kannst du dir den Quelltext mal anzeigen lassen ist meist nur
Text.

Ich lasse die Jungs manchmal in einen Honeypott um zu gucken was die
Hampelmänner so alles anstellen. 
Der beste war der, der via FTP mit seinen eigenen Zugangsdaten versucht
hat "Server: http://www.sest.ru User: orlenok pwd: ariadna" auf einen
meiner V-Server zu gelangen. 

Das war mir ne kleine Party wert. 

Das Passwort hat er mittlerweile geändert schade eigentlich hat echt
Spaß gemacht. ;-*)

Kannst du mir mal mitteilen um welche Domain es sich handelt, da scheint
es kostenlos Webspace zu geben? :)

Cheers Torsten

PS. Mit der richtigen Query bei gockel findet man sogar die alte fm.php
zum download bei einem naturallyHosting Anbieter.

Vorherige Nachricht: [php] Problem mit Hacker - eval sperren
Nächste Nachricht: [php] Problem mit Hacker - eval sperren
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive