Hack vraag - Softwareontwikkeling

zondag 20 maart 2005 11:26

Acties:

Verwijderd

Topicstarter

Hallo tweakers...

Ik ben webmaster van een site met de link http://wallpaperzone.searchpixie.com , maar ik ben in 2 weken 2 keer gehacked...de (ik neem aan) hacker zet een hacker.tar bestand in me ftp en die haalt of vervangt ofzo iets mijn paginas weg (niet fotos) dit zal je ook zien als je naar me site gaat,kheb ook ff dit bestand publiek gemaakt http://members.home.nl/rbastin/hacker.tar voor jullie om te onderzoeken ofzo iets.
Hopelijk hebben jullie hier ervaring mee of kunnen jullie me helpen ofzo iets.
Als iemand me kan helpen en zelf een site heeft kan wel iets terug verwachten in de trand van bezoekers.( me site had 7000 unieke bezoekers per dag)
Alvast bedankt! $_/-\o_$

[ Voor 3% gewijzigd door Verwijderd op 20-03-2005 11:33 ]

zondag 20 maart 2005 11:27

Acties:

Verwijderd

Waar wil dat wij jou mee helpen? Als je last van een hacker hebt, dan moet je je site beter beveiligen

[ Voor 54% gewijzigd door Verwijderd op 20-03-2005 11:27 ]

zondag 20 maart 2005 11:28

Acties:

Verwijderd

Topicstarter

Misschien weet iemand hoe deze file werkt,en dat ik ehm misschien tegen zich zef kan keren om de files ook weer terug te halen ofzo iets.

zondag 20 maart 2005 11:28

Acties:

JHS

Splitting the thaum.

Geen idee of het bestand uberhaupt nuttig is, maar het helpt als je het op een publieke toegankelijke space neerzet

.

edit:

Overigens is dat bestand zelf niet het probleem, aangezien dat bestand er uberhaupt nooit had mogen komen. Dus of je FTP password is bekend, of je hebt een een lekke website, met bijvoorbeeld Cross Site Scripting problemen

.

[ Voor 52% gewijzigd door JHS op 20-03-2005 11:29 ]

DM!

zondag 20 maart 2005 11:29

Acties:

markvt

Peppi Cola

http://members.home.nl/rbastin/hacker.tar

Dat is de url naar je bestand die https homedrive kan niemand bij.

code:

             "  char msg[ ] = \"Welcome to Data Cha0s Connect Back Shell\\n\\n\"\n" .
             "                \"Issue \\\"export TERM=xterm; exec bash -i\\\"\\n\"\n" .
             "                \"For More Reliable Shell.\\n\"\n" .
             "                \"Issue \\\"unset HISTFILE; unset SAVEHIST\\\"\\n\"\n" .
             "                \"For Not Getting Logged.\\n(;\\n\\n\";\n" .
             "  printf(\"Data Cha0s Connect Back Backdoor\\n\\n\");\n" .

En tis gebaseerd op:

code:

              " * hatorihanzo.c\n" .
              " * Linux kernel do_brk vma overflow exploit.\n" .
              " *\n" .
              " * The bug was found by Paul (IhaQueR) Starzetz <paul@isec.pl>\n" .
              " *\n" .
              " * Further research and exploit development by\n" .
              " * Wojciech Purczynski <cliph@isec.pl> and Paul Starzetz.\n" .
              " *\n" .
              " * (c) 2003 Copyright by IhaQueR and cliph. All Rights Reserved.\n" .
              " *\n" .
              " * COPYING, PRINTING, DISTRIBUTION, MODIFICATION, COMPILATION AND ANY USE\n" .
              " * OF PRESENTED CODE IS STRICTLY PROHIBITED.\n" .
              "*/\n" .

Lijkt me handig als je eens naar patches voor je box e.d. gaat kijken.

[ Voor 86% gewijzigd door markvt op 20-03-2005 11:32 ]

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

zondag 20 maart 2005 11:33

Acties:

Verwijderd

/me klikt op link

Virusscan begint direct te flikkeren

, niet echt een gezond bestand. Verander al je paswoorden en zorg dat users niks kunnen uploaden.

zondag 20 maart 2005 11:33

Acties:

Icey

Dat bestand is een Linux Rootkit. Eerder een PHP Exploit, wellicht draai je nog een oudere PHP versie, er zijn laats wat updates geweest ivm een bug. Hij is beter bekend onder Santy, die misbruikt maakt van de PHP bug om websites te wijzigen, zoek anders eens op Chaploit.

Php update NU!

(Ben geen expert dus kan er naast zitten

).

Upon execution of the script file, it searches for writable files/folders to write a .c file into.

It tries to write it into /tmp/dc-connectback.c . The sourcode of the dc-connectback.c file is embedded inside in the php file. This is the sourcecode of the "Data Cha0s Connect Back Backdoor". It actually may reveal its presence by showing a message on the screen using the printf command. By default it is making use of port 80 so not that unique to pinpoint.

It also tries to write other files called hatorihanzo.c , and/or /tmp/xpl_brk.c , this is a Linux kernel do_brk vma overflow exploit, checking if the kernel is exploitable or not using the linux local kernel exploit.

There're also routines to send fake e-mails and perform portscans.

[ Voor 62% gewijzigd door Icey op 20-03-2005 11:36 ]

zondag 20 maart 2005 11:36

Acties:

Verwijderd

Topicstarter

Mja ik kan nu wel een nieuwere versie php gebruiken ( ik was al html van plan ) maar die verkeerde directorys blijven en die moeten weg

zondag 20 maart 2005 11:39

Acties:

Icey

Verwijderd schreef op zondag 20 maart 2005 @ 11:36:
Mja ik kan nu wel een nieuwere versie php gebruiken ( ik was al html van plan ) maar die verkeerde directorys blijven en die moeten weg

Je bent geroot, je systeem is niet te vertrouwen, formatten die hap een andere mogelijkheid is er niet. Tenzij je weer risicos wilt lopen. Zoals je merkt word er via een klein foutje in php het eea gedaan die weer andere dingen installeerd en configureerd, dat laad weer andere scriptjes etc etc. Binnen notime zit die shit overal, en je heb geen idee hoe, wat en waar. Formatteren!

zondag 20 maart 2005 11:40

Acties:

DiedX

De do_brk bug is idd een oude exploit.

doe eens een uname -a?

En volgens mij is dit meer NOS of BV

edit:

de kernel kan je ook zien met phpinfo() btw

[ Voor 23% gewijzigd door DiedX op 20-03-2005 11:44 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 20 maart 2005 11:45

Acties:

Verwijderd

Topicstarter

[/quote]
De do_brk bug is idd een oude exploit.

doe eens een uname -a?

En volgens mij is dit meer NOS of BV
[quote]

Hier snap ik dus niks van

zondag 20 maart 2005 11:50

Acties:

DiedX

Doe jij deze machine beheren qua Linux, of is dat uitbesteed?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 20 maart 2005 11:50

Acties:

Verwijderd

Topicstarter

Nope ik wordt gehost...searchpixie.com is me hoster.

zondag 20 maart 2005 11:52

Acties:

DiedX

Goed werk dan

Op zoek naar een andere host. Deze machine draait een oude versie van PHP, en een oude versie van een kernel.

Dit is helaas buiten jou macht.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 20 maart 2005 11:53

Acties:

Icey

Verwijderd schreef op zondag 20 maart 2005 @ 11:50:
Nope ik wordt gehost...searchpixie.com is me hoster.

Dan hoef jij toch niks te doen? Het is zijn probleem toch?

zondag 20 maart 2005 11:56

Acties:

Verwijderd

Topicstarter

nee het is ook mijn probleem.....no host,no site....no site,no $

zondag 20 maart 2005 11:59

Acties:

Verwijderd

Nee, het is niet jouwn probleem. Het is het probleem van de hoster dat je geen site hebt. Hij zorgt er toch voor dat het onmogelijk is? Je zou hem kunnen dwingen te upgraden, en gemiste inkomsten op hem verhalen.

[ Voor 23% gewijzigd door Verwijderd op 20-03-2005 12:00 ]

zondag 20 maart 2005 12:01

Acties:

Verwijderd

Topicstarter

Ja maar het feit blijft dat mijn site niet meer bestaat,en die kosten die ik verlies kan ik niks mee....hijs ook meteen me sponsor

[ Voor 41% gewijzigd door Verwijderd op 20-03-2005 12:01 ]

zondag 20 maart 2005 12:03

Acties:

Icey

Koop gewoon wat ruimte bij NXS.nl ofzo, kost wellicht wat meer maar daar staan een hoop voordelen tegenover (betrouwbaarheid, snelheid etc). Koop vervolgens een leuk domeintje en dan ben je ook niet meer afhankelijk van een wazige subdomein, dan kan je pas echt geld verdienen

.

Overigens zou ik de hoster erop aanspreken, ik heb je wel verteld wat er nu aan de hand is en waar je last van heb, maar jij kan die bak niet herinstalleren...

zondag 20 maart 2005 12:07

Acties:

Joen

Er zit weinig anders op dan een nieuwe sponsor zoeken denk ik. Ik zou persoonlijk niet langer emt deze sponsor door willen gaan als het probleem niet opgelost wordt.

zondag 20 maart 2005 12:10

Acties:

Icey

Schandalig dit, je draaid nog Apache httpd 2.0.46, vind je het gek

Een paar dingen die gefixed zijn (we zitten ondertussen bij 2.0.53 ofzo) staan hier hier. Lekkere systeembeheerder.

zondag 20 maart 2005 12:19

Acties:

Verwijderd

Topicstarter

meuktracker: Rootkit Hunter 1.1.9 heeft die hier wat aan?

zondag 20 maart 2005 13:20

Acties:

NMe

Quia Ego Sic Dico.

Verwijderd schreef op zondag 20 maart 2005 @ 12:19:
meuktracker: Rootkit Hunter 1.1.9 heeft die hier wat aan?

Hij heeft wat aan software updates. Apache is niet up to date, en PHP blijkbaar ook niet. In versies voor 4.3.10 zat nogal een grove beveiligingsfout, en de meeste servers zijn dan ook zonder meer geupgrade naar PHP 4.3.10.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 20 maart 2005 13:54

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

De oorzaak lijkt me nu duidelijk; je hoster een schop geven

Verder heeft dit weinig met programmeren te maken, eerder met het updaten van je software

Digitaal onderwijsmateriaal, leermateriaal voor hbo