:strip_icc():strip_exif()/u/26692/evil.jpg?f=community)
Een paar uur geleden vond ik in me apache root dir de bestanden nc.exe en myth.php. Dit vond ik nogal verdacht. Google vertelde me dat nc.exe het tooltje netcat was. Dit programma ken ik wel en het wordt veel gebruikt door hackers/crackers. De broncode van het php bestand vond ik ook zeer apart:
Ik weet dus te weinig van php om te weten wat dat script doet. Ik ben in me apache logs gaan kijken wat er allemaal gebeurde om het moment dat die bestanden zijn aangemaakt. Rond die tijd zat een persoon in me phpmyadmin te klooien. Toen ik dat zag heb ik mezelf voor me kop geslagen. Ik had namelijk niet een fatsoenlijk password en username op me mysql server zitten
Vroeger blokte me firewall al het verkeer van apache en mysql naar het internet, maar sinds ik me creaties (kuch) ook aan wat anderen mensen wil laten zien, heb ik de blokkade uit me firewall gehaald. Ik heb trouwens gewoon wampserver (soort phptraid, apachefirends whatever) geinstalleerd. Ja, ik weet dat ik lui ben 
Dit is de code uit me apache log:
84.129.231.x - - [28/Aug/2005:18:01:00 +0200] "POST /phpmyadmin/read_dump.php HTTP/1.1" 200 4917
84.129.231.x - - [28/Aug/2005:18:01:01 +0200] "GET /favicon.ico HTTP/1.1" 404 288
84.129.231.x - - [28/Aug/2005:18:01:13 +0200] "POST /phpmyadmin/read_dump.php HTTP/1.1" 200 7900
84.129.231.x - - [28/Aug/2005:18:01:14 +0200] "GET /favicon.ico HTTP/1.1" 404 288
84.129.231.x - - [28/Aug/2005:18:01:19 +0200] "GET /myth.php HTTP/1.1" 200 288
Nu is dit de eerste keer dat ik fatsoenlijk in de apache logs kijk, dus ik weet niet echt wat ik hiervan moet vinden. Eigenlijk ga ik er gewoon van uit dat meneer 84.129.231.x geprobeerd heeft mijn computer te hacken en dat hij volgensmij succes heeft gehad.
Wat me ook opviel is dat in phpmyadmin een database stond met de naam "remoteshell". Dit was me nog niet eerder opgevallen en de naam klinkt iig nogal verwacht. Alhoewel een scriptkiddy wat een beetje nadenkt het wel anders zou noemen. Alle databases zijn onleesbaar. Bahalve de DB die ik zelf gebruik zeg maar. Er stonden nog een paar anderen bij van bijv. phpmyadmin zelf.
Nu wil ik het volgende weten. Kan ik nog meer te weten komen over deze actie? Kan ik zien of het echt succesvol is en of hij (zij?) nog steeds dingen kan uitvoeren op me pc?
Verder wil ik graag weten of het zin heeft om een mailtje te sturen naar zijn provider met de gegevens. Bij voorbaat dank voor de hulp
Dit heb ik al gedaan om niet meer vatbaar te zijn:
- de bestanden uit me apache root dit gehaald.
- alle porten die open stonden dicht gegooid. Had er nogal wat extea open gezet voor bittorent ed.
- norton virusscanner draait nu
- apache/mysql afgesloten
edit:
Via dat php script kan je commando's uitvoeren op mijn pc via de browser. Daar ben inmiddels wel achter.
PHP:
1
| edit: dit script is niet meer nodig. Voordat er verkeerde mensen mee aan de gang gaan :) |
Ik weet dus te weinig van php om te weten wat dat script doet. Ik ben in me apache logs gaan kijken wat er allemaal gebeurde om het moment dat die bestanden zijn aangemaakt. Rond die tijd zat een persoon in me phpmyadmin te klooien. Toen ik dat zag heb ik mezelf voor me kop geslagen. Ik had namelijk niet een fatsoenlijk password en username op me mysql server zitten
Vroeger blokte me firewall al het verkeer van apache en mysql naar het internet, maar sinds ik me creaties (kuch) ook aan wat anderen mensen wil laten zien, heb ik de blokkade uit me firewall gehaald. Ik heb trouwens gewoon wampserver (soort phptraid, apachefirends whatever) geinstalleerd. Ja, ik weet dat ik lui ben Dit is de code uit me apache log:
84.129.231.x - - [28/Aug/2005:18:01:00 +0200] "POST /phpmyadmin/read_dump.php HTTP/1.1" 200 4917
84.129.231.x - - [28/Aug/2005:18:01:01 +0200] "GET /favicon.ico HTTP/1.1" 404 288
84.129.231.x - - [28/Aug/2005:18:01:13 +0200] "POST /phpmyadmin/read_dump.php HTTP/1.1" 200 7900
84.129.231.x - - [28/Aug/2005:18:01:14 +0200] "GET /favicon.ico HTTP/1.1" 404 288
84.129.231.x - - [28/Aug/2005:18:01:19 +0200] "GET /myth.php HTTP/1.1" 200 288
Nu is dit de eerste keer dat ik fatsoenlijk in de apache logs kijk, dus ik weet niet echt wat ik hiervan moet vinden. Eigenlijk ga ik er gewoon van uit dat meneer 84.129.231.x geprobeerd heeft mijn computer te hacken en dat hij volgensmij succes heeft gehad.
Wat me ook opviel is dat in phpmyadmin een database stond met de naam "remoteshell". Dit was me nog niet eerder opgevallen en de naam klinkt iig nogal verwacht. Alhoewel een scriptkiddy wat een beetje nadenkt het wel anders zou noemen. Alle databases zijn onleesbaar. Bahalve de DB die ik zelf gebruik zeg maar. Er stonden nog een paar anderen bij van bijv. phpmyadmin zelf.
Nu wil ik het volgende weten. Kan ik nog meer te weten komen over deze actie? Kan ik zien of het echt succesvol is en of hij (zij?) nog steeds dingen kan uitvoeren op me pc?
Verder wil ik graag weten of het zin heeft om een mailtje te sturen naar zijn provider met de gegevens. Bij voorbaat dank voor de hulp
Dit heb ik al gedaan om niet meer vatbaar te zijn:
- de bestanden uit me apache root dit gehaald.
- alle porten die open stonden dicht gegooid. Had er nogal wat extea open gezet voor bittorent ed.
- norton virusscanner draait nu
- apache/mysql afgesloten
edit:
Via dat php script kan je commando's uitvoeren op mijn pc via de browser. Daar ben inmiddels wel achter.
[ Voor 29% gewijzigd door E-jey op 30-08-2005 23:40 ]
/u/47968/avatargot.png?f=community){kind=avatar}
/u/120938/crop562057892bed7_cropped.png?f=community)
/u/64936/crop560fa53296a1c.png?f=community)
) controleren of nc.exe het enige bestand is wat ze tot nu geplaatst hebben. Het zou namelijk best kunnen dat ze al een backdoor hebben geïnstalleerd om via een andere manier toegang tot je computer te krijgen.