Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Webserver "gehackt"?

Pagina: 1
Acties:
  • 548 views sinds 30-01-2008
  • Reageer

zondag 6 januari 2008 23:11

Acties:
  • lennartkocken
  • Registratie: September 2004
  • Laatst online: 25-11 14:07

lennartkocken

Topicstarter
Kom ik net achter m'n computer, zie ik opeens een virusmelding: C.php was geinfecteerd met PHP/C999Shell.E . Ik kijken, kon me niet voorstellen dat ik ooit een bestand c.php had genoemd, en die in de root had gezet, en zie opeens een aantal nieuwe bestanden, een aantal seconden daarvoor aangemaakt. Dat kon natuurlijk niet, want ik was er niet.

Kijk in m'n logboek, en zie staan:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164

84.84.54.233 - - [06/Jan/2008:19:18:03 +0100] "recipientid=117&sessionid=8122" 200 35911
195.43.186.86 - - [06/Jan/2008:19:54:46 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 304
195.43.186.86 - - [06/Jan/2008:19:54:46 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 304
195.43.186.86 - - [06/Jan/2008:19:54:46 +0100] "GET /db/main.php HTTP/1.0" 404 296
195.43.186.86 - - [06/Jan/2008:19:54:46 +0100] "GET /web/main.php HTTP/1.0" 404 297
195.43.186.86 - - [06/Jan/2008:19:54:46 +0100] "GET /PMA/main.php HTTP/1.0" 200 59635
195.43.186.86 - - [06/Jan/2008:19:54:48 +0100] "GET /PMA/libraries/select_lang.lib.php HTTP/1.0" 200 -
217.113.234.214 - - [06/Jan/2008:20:41:18 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 304
217.113.234.214 - - [06/Jan/2008:20:41:19 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 304
217.113.234.214 - - [06/Jan/2008:20:41:19 +0100] "GET /db/main.php HTTP/1.0" 404 296
217.113.234.214 - - [06/Jan/2008:20:41:20 +0100] "GET /web/main.php HTTP/1.0" 404 297
217.113.234.214 - - [06/Jan/2008:20:41:20 +0100] "GET /PMA/main.php HTTP/1.0" 200 59635
217.113.234.214 - - [06/Jan/2008:20:41:23 +0100] "GET /PMA/libraries/select_lang.lib.php HTTP/1.0" 200 -
81.169.183.230 - - [06/Jan/2008:21:46:46 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 333
81.169.183.230 - - [06/Jan/2008:22:33:31 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 304
81.169.183.230 - - [06/Jan/2008:22:33:31 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 304
81.169.183.230 - - [06/Jan/2008:22:33:31 +0100] "GET /db/main.php HTTP/1.0" 404 296
81.169.183.230 - - [06/Jan/2008:22:33:31 +0100] "GET /web/main.php HTTP/1.0" 404 297
81.169.183.230 - - [06/Jan/2008:22:33:31 +0100] "GET /PMA/main.php HTTP/1.0" 200 59635
81.169.183.230 - - [06/Jan/2008:22:33:32 +0100] "GET /PMA/libraries/select_lang.lib.php HTTP/1.0" 200 -
84.61.116.206 - - [06/Jan/2008:22:35:28 +0100] "GET /PMA/index.php HTTP/1.1" 200 2907
84.61.116.206 - - [06/Jan/2008:22:35:28 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&js_frame=right HTTP/1.1" 200 11126
84.61.116.206 - - [06/Jan/2008:22:35:29 +0100] "GET /PMA/left.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&hash=1fbaa380e88da0259951b1d8850e31551199655328 HTTP/1.1" 200 2005
84.61.116.206 - - [06/Jan/2008:22:35:29 +0100] "GET /PMA/queryframe.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&hash=1fbaa380e88da0259951b1d8850e31551199655328 HTTP/1.1" 200 9929
84.61.116.206 - - [06/Jan/2008:22:35:30 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=left&num_dbs=0 HTTP/1.1" 200 2980
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/css/phpmyadmin.css.php?js_frame=left&num_dbs=0 HTTP/1.1" 200 2980
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/themes/original/img/logo_left.png HTTP/1.1" 200 4424
84.61.116.206 - - [06/Jan/2008:22:35:30 +0100] "GET /PMA/main.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci HTTP/1.1" 200 60636
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/themes/original/img/b_home.png HTTP/1.1" 200 370
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/themes/original/img/b_selboard.png HTTP/1.1" 200 274
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/themes/original/img/b_docs.png HTTP/1.1" 200 292
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/themes/original/img/b_sqlhelp.png HTTP/1.1" 200 287
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/css/print.css?lang=de-utf-8&server=1&collation_connection=utf8_general_ci HTTP/1.1" 200 37
84.61.116.206 - - [06/Jan/2008:22:35:31 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/logo_right.png HTTP/1.1" 200 5658
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/vertical_line.png HTTP/1.1" 200 83
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/b_newdb.png HTTP/1.1" 200 408
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/b_help.png HTTP/1.1" 200 229
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_status.png HTTP/1.1" 200 313
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_vars.png HTTP/1.1" 200 306
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_asci.png HTTP/1.1" 200 254
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_process.png HTTP/1.1" 200 362
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_reload.png HTTP/1.1" 200 245
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/b_engine.png HTTP/1.1" 200 362
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_rights.png HTTP/1.1" 200 512
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_db.png HTTP/1.1" 200 285
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/b_export.png HTTP/1.1" 200 313
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/b_info.png HTTP/1.1" 200 234
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_lang.png HTTP/1.1" 200 422
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/php_sym.png HTTP/1.1" 200 249
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/spacer.png HTTP/1.1" 200 153
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/libraries/tooltip.js HTTP/1.1" 200 4542
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /PMA/themes/original/img/s_theme.png HTTP/1.1" 200 737
84.61.116.206 - - [06/Jan/2008:22:35:32 +0100] "GET /favicon.ico HTTP/1.1" 404 296
84.61.116.206 - - [06/Jan/2008:22:35:38 +0100] "POST /PMA/db_create.php HTTP/1.1" 200 13295
84.61.116.206 - - [06/Jan/2008:22:35:38 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:35:38 +0100] "GET /PMA/libraries/functions.js HTTP/1.1" 200 36958
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/item_ltr.png HTTP/1.1" 200 173
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/s_host.png HTTP/1.1" 200 316
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/left.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=v3l0&hash=1fbaa380e88da0259951b1d8850e31551199655328 HTTP/1.1" 200 2309
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/b_props.png HTTP/1.1" 200 294
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/queryframe.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&hash=1fbaa380e88da0259951b1d8850e31551199655328 HTTP/1.1" 200 9980
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/b_sql.png HTTP/1.1" 200 322
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/b_search.png HTTP/1.1" 200 605
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/b_tblops.png HTTP/1.1" 200 345
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/b_deltbl.png HTTP/1.1" 200 364
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/error.ico HTTP/1.1" 200 318
84.61.116.206 - - [06/Jan/2008:22:35:39 +0100] "GET /PMA/themes/original/img/b_newtbl.png HTTP/1.1" 200 409
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=left&num_dbs=0 HTTP/1.1" 200 2980
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/css/phpmyadmin.css.php?js_frame=left&num_dbs=0 HTTP/1.1" 200 2980
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/themes/original/img/logo_left.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/themes/original/img/b_home.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/themes/original/img/b_selboard.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/themes/original/img/b_docs.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:35:40 +0100] "GET /PMA/themes/original/img/b_sqlhelp.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:35:42 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:35:43 +0100] "GET /PMA/themes/original/img/s_tbl.png HTTP/1.1" 200 252
84.61.116.206 - - [06/Jan/2008:22:35:42 +0100] "POST /PMA/tbl_create.php HTTP/1.1" 200 50270
84.61.116.206 - - [06/Jan/2008:22:35:43 +0100] "GET /PMA/libraries/keyhandler.js HTTP/1.1" 200 1686
84.61.116.206 - - [06/Jan/2008:22:35:43 +0100] "GET /PMA/themes/original/img/b_primary.png HTTP/1.1" 200 416
84.61.116.206 - - [06/Jan/2008:22:35:43 +0100] "GET /PMA/themes/original/img/b_index.png HTTP/1.1" 200 315
84.61.116.206 - - [06/Jan/2008:22:35:43 +0100] "GET /PMA/themes/original/img/b_ftext.png HTTP/1.1" 200 277
84.61.116.206 - - [06/Jan/2008:22:35:43 +0100] "GET /PMA/themes/original/img/b_unique.png HTTP/1.1" 200 281
84.61.116.206 - - [06/Jan/2008:22:35:47 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:35:46 +0100] "POST /PMA/tbl_create.php HTTP/1.1" 200 35247
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/themes/original/img/b_browse.png HTTP/1.1" 200 265
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/themes/original/img/b_insrow.png HTTP/1.1" 200 283
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/left.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=v3l0&hash=1fbaa380e88da0259951b1d8850e31551199655328 HTTP/1.1" 200 2221
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/themes/original/img/b_tblexport.png HTTP/1.1" 200 283
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/themes/original/img/b_empty.png HTTP/1.1" 200 298
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/themes/original/img/b_edit.png HTTP/1.1" 200 451
84.61.116.206 - - [06/Jan/2008:22:35:48 +0100] "GET /PMA/themes/original/img/bd_primary.png HTTP/1.1" 200 389
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/b_drop.png HTTP/1.1" 200 311
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/bd_ftext.png HTTP/1.1" 200 277
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/bd_index.png HTTP/1.1" 200 315
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/bd_unique.png HTTP/1.1" 200 287
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/arrow_ltr.png HTTP/1.1" 200 277
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/b_print.png HTTP/1.1" 200 574
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/b_relations.png HTTP/1.1" 200 280
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/b_tblanalyse.png HTTP/1.1" 200 296
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/s_warn.png HTTP/1.1" 200 261
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/b_tblimport.png HTTP/1.1" 200 280
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/themes/original/img/b_sbrowse.png HTTP/1.1" 200 197
84.61.116.206 - - [06/Jan/2008:22:35:49 +0100] "GET /PMA/css/phpmyadmin.css.php?js_frame=left&num_dbs=0 HTTP/1.1" 200 2980
84.61.116.206 - - [06/Jan/2008:22:35:51 +0100] "GET /PMA/tbl_change.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=v3l0&table=v3l0&goto=tbl_properties_structure.php&back=tbl_properties_structure.php HTTP/1.1" 200 18111
84.61.116.206 - - [06/Jan/2008:22:35:52 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:35:52 +0100] "GET /PMA/libraries/tbl_change.js HTTP/1.1" 200 10238
84.61.116.206 - - [06/Jan/2008:22:35:52 +0100] "GET /PMA/themes/original/img/b_tipp.png HTTP/1.1" 200 308
84.61.116.206 - - [06/Jan/2008:22:36:00 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:36:00 +0100] "POST /PMA/tbl_replace.php HTTP/1.1" 200 42919
84.61.116.206 - - [06/Jan/2008:22:36:00 +0100] "GET /PMA/left.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=v3l0&hash=1fbaa380e88da0259951b1d8850e31551199655328 HTTP/1.1" 200 2221
84.61.116.206 - - [06/Jan/2008:22:36:01 +0100] "GET /PMA/css/phpmyadmin.css.php?js_frame=left&num_dbs=0 HTTP/1.1" 200 2980
84.61.116.206 - - [06/Jan/2008:22:36:01 +0100] "GET /PMA/tbl_properties.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=v3l0&table=v3l0&goto=tbl_properties_structure.php&back=tbl_properties_structure.php HTTP/1.1" 200 20077
84.61.116.206 - - [06/Jan/2008:22:36:02 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:36:12 +0100] "GET /PMA/tbl_Replace.php HTTP/1.1" 200 2767
84.61.116.206 - - [06/Jan/2008:22:36:12 +0100] "GET /PMA/css/print.css?lang=de-utf-8&server=1&collation_connection=utf8_general_ci HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:12 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:36:13 +0100] "GET /PMA/themes/original/img/vertical_line.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:20 +0100] "GET /PMA/phpinfo.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 HTTP/1.1" 200 4644
84.61.116.206 - - [06/Jan/2008:22:36:20 +0100] "GET /PMA/phpinfo.php HTTP/1.1" 200 40045
84.61.116.206 - - [06/Jan/2008:22:36:21 +0100] "GET /PMA/phpinfo.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 HTTP/1.1" 200 2146
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right&js_isDOM=1 HTTP/1.1" 200 11722
84.61.116.206 - - [06/Jan/2008:22:36:46 +0100] "POST /PMA/read_dump.php HTTP/1.1" 200 23184
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/libraries/functions.js HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/s_host.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/item_ltr.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/s_db.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/s_tbl.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_browse.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_props.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_sql.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_search.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_insrow.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_tblexport.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:47 +0100] "GET /PMA/themes/original/img/b_tblops.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:48 +0100] "GET /PMA/themes/original/img/b_empty.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:48 +0100] "GET /PMA/themes/original/img/b_deltbl.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:48 +0100] "GET /PMA/themes/original/img/b_help.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:48 +0100] "GET /PMA/themes/original/img/spacer.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:48 +0100] "GET /PMA/themes/original/img/b_tblimport.png HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:48 +0100] "GET /PMA/libraries/tooltip.js HTTP/1.1" 304 -
84.61.116.206 - - [06/Jan/2008:22:36:53 +0100] "GET /PMA/v3l0.php HTTP/1.1" 404 297
84.61.116.206 - - [06/Jan/2008:22:36:57 +0100] "GET /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:37:01 +0100] "POST /v3l0.php HTTP/1.1" 200 3491
213.46.215.51 - - [06/Jan/2008:22:38:28 +0100] "GET / HTTP/1.0" 200 21062
84.61.116.206 - - [06/Jan/2008:22:41:57 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:42:10 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:42:16 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:42:20 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:42:26 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:42:31 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:42:36 +0100] "POST /v3l0.php HTTP/1.1" 200 935
84.61.116.206 - - [06/Jan/2008:22:42:55 +0100] "GET /c.php HTTP/1.1" 200 -
84.61.116.206 - - [06/Jan/2008:22:43:07 +0100] "POST /v3l0.php HTTP/1.1" 200 2696
84.61.116.206 - - [06/Jan/2008:22:43:20 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:43:27 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:43:32 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:43:37 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:43:42 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:43:47 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:43:53 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:44:00 +0100] "POST /v3l0.php HTTP/1.1" 200 938
84.61.116.206 - - [06/Jan/2008:22:44:07 +0100] "POST /v3l0.php HTTP/1.1" 200 853
84.61.116.206 - - [06/Jan/2008:22:44:38 +0100] "POST /v3l0.php HTTP/1.1" 200 3531


Via PMA (PHPMyAdmin) is blijkbaar een bestand geupload ( 8)7 ) en er is wat rommel geupload via dat script, en dat is uitgevoerd.

Ik heb de bestanden:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

c.php
delete_servu.bat
dirchange.txt
FTP.txt
graphicdrivers.dll
graphicsoftware.txt
infos.txt
JAstat.stats
libeay32.dll
login.txt
oggsettings.dll
ServUCert.crt
ServUCert.key
ssleay32.dll
start.bat
stop.bat
v3l0.php
winmsg.dll
winmsg.sys
xtra.exe


code:
1
2
3
4
5
6
7

[Sun Jan 06 22:44:38 2008] [error] [client 84.61.116.206] PHP Notice:  Undefined variable: superdat_name in D:\\www\\Apache2\\htdocs\\v3l0.php on line 9, referer: http://213.46.2.196/v3l0.php
[Sun Jan 06 22:46:38 2008] [notice] Parent: Received shutdown signal -- Shutting down the server.
[Sun Jan 06 22:46:38 2008] [notice] Child 1152: Exit event signaled. Child process is ending.
[Sun Jan 06 22:46:39 2008] [notice] Child 1152: Released the start mutex
[Sun Jan 06 22:46:41 2008] [notice] Child 1152: Waiting for 250 worker threads to exit.
[Sun Jan 06 22:46:41 2008] [notice] Child 1152: All worker threads have exited.
[Sun Jan 06 22:46:41 2008] [notice] Child 1152: Child process is exiting


Zo te zien heb ik nét optijd de webserver uitgeschakeld?

Maar weet iemand bij deze aanval of er afgezien van wat bestanden ook nog iets ergs gebeurt? Ik ben 1 onbekende DLL tegengekomen (zie bovenstaande lijstje) in m'n taskmgr.

Ik weet dat dit niet het ideale subforum is voor dit probleem, maar welk forum wel..? :P

Wie kan me helpen?

zondag 6 januari 2008 23:21

Acties:
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 02:18

AW_Bos

Liefhebber van nostalgie... 🕰️

Wat staat er in v3l0.php ?
Ik vermoed kwade code?

Volgens mij proberen ze (iemand uit Duitsland) door een exploit in PMA ServU FTP server plaatsen, en een warezbakkie van je server te maken?
Tja, je hebt hem dus halverwege de upload toen je het merkte de webserver gestopt?

Ik zou zelf netjes even kijken of je ServU eraf kan gooien, en je PC grondig doorscannen.
Desnoods een herinstallatie, want wie weet zit er wel een hardnekkige rootkit in... :o

[ Voor 45% gewijzigd door AW_Bos op 06-01-2008 23:25 ]

Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zondag 6 januari 2008 23:26

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Programming -> Beveiliging & Virussen :)

Over welke versie van phpmyadmin hebben we het trouwens?

[ Voor 29% gewijzigd door moto-moi op 06-01-2008 23:27 ]

God, root, what is difference? | Talga Vassternich | IBM zuigt

zondag 6 januari 2008 23:34

Acties:
  • lennartkocken
  • Registratie: September 2004
  • Laatst online: 25-11 14:07

lennartkocken

Topicstarter
Dankje,

PMA: 2.6.4
PHP: 5.0.5

zondag 6 januari 2008 23:49

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 27-11 09:24

frickY

Zo te zien is meerdere keren een 200 OK status gegeven voor bestanden van phpmyadmin. Heb je er geen .htaccess voor hangen? Je hebt er geen .htaccess voor hangen

Gezien de requests naar alle CSS-files en afbeeldingen lijkt het geen geautomatiseerd botje te zijn, maar handmatige acties.
Zo te zien heeft hij de databse v3l0 aangemaakt met daarin een tabel v3l0.
Vervolgens zie ik een request naar "tbl_replace.php" maar weet zo niet wat de mogelijkheden van dat bestand zijn. Hierna importeert hij een bestand. Hier een ander slachtoffer waar je kunt zien wat er geimporteert wordt; een webinterface. Op de een of andere manier wordt de inhoud van die tabel als PHP-code geevalueert.
Vervolgens weet hij het voor elkaar te krijgen dat het bestand v3l0.php in je webroot komt. Gezien de requests erna is dat een uploader waarmee hij de bestanden naar je server heeft gekregen.
"c.php" zal dan vermoedelijk iets zijn geweest om de installatie te starten.

Zo te zien is het een geintje dat ze vaker uithalen bij mensen die hun phpmyadmin niet afschermen van onbevoegden.

[ Voor 91% gewijzigd door frickY op 07-01-2008 00:02 ]

maandag 7 januari 2008 00:02

Acties:
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 02:18

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik heb dat evil v3I0.php doorgeleze (Heb Lennart in mijn MSN lijst staan ;) ), en het is een 'afstandbediening' van de server, om 'leuke' commando's uit te voeren, en te uploaden...

Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

maandag 7 januari 2008 00:10

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

lennartkocken schreef op zondag 06 januari 2008 @ 23:11:

Via PMA (PHPMyAdmin) is blijkbaar een bestand geupload ( 8)7 ) en er is wat rommel geupload via dat script, en dat is uitgevoerd.
Sterker nog, zo te zien is in PHPMyAdmin een DB aangemaakt, daarin is een file gezet en die file is met PHPMyAdmin weggeschreven naar je webroot. Ik ben daar niet helemaal zeker van maar een echte file-uploadactie zie ik iig niet terugkomen.
Maar weet iemand bij deze aanval of er afgezien van wat bestanden ook nog iets ergs gebeurt? Ik ben 1 onbekende DLL tegengekomen (zie bovenstaande lijstje) in m'n taskmgr.
Dat weet je nooit. Reinstallen. En voortaan je phpmyadmin afschermen.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 7 januari 2008 00:15

Acties:
  • lennartkocken
  • Registratie: September 2004
  • Laatst online: 25-11 14:07

lennartkocken

Topicstarter
CyBeR schreef op maandag 07 januari 2008 @ 00:10:
[...]


Sterker nog, zo te zien is in PHPMyAdmin een DB aangemaakt, daarin is een file gezet en die file is met PHPMyAdmin weggeschreven naar je webroot. Ik ben daar niet helemaal zeker van maar een echte file-uploadactie zie ik iig niet terugkomen.


[...]


Dat weet je nooit. Reinstallen. En voortaan je phpmyadmin afschermen.
Serieus windows opnieuw installeren? |:(

maandag 7 januari 2008 00:19

Acties:
  • ibmos2warp
  • Registratie: Januari 2007
  • Laatst online: 20-11-2023

ibmos2warp

Eval is Evil

frickY schreef op zondag 06 januari 2008 @ 23:49:
Gezien de requests naar alle CSS-files en afbeeldingen lijkt het geen geautomatiseerd botje te zijn, maar handmatige acties.
Hmm... Misschien om te testen? Want in die lijst staan twee andere, die nog te benaderen zijn, en waar je gewoon een db aan kan maken.

Ik weet alles van niks
Vind Excel ongelovelijk irritant.

maandag 7 januari 2008 00:20

Acties:
  • GeniusJennis
  • Registratie: Mei 2004
  • Laatst online: 26-11 16:53

GeniusJennis

lennartkocken schreef op zondag 06 januari 2008 @ 23:11:
Maar weet iemand bij deze aanval of er afgezien van wat bestanden ook nog iets ergs gebeurt? Ik ben 1 onbekende DLL tegengekomen (zie bovenstaande lijstje) in m'n taskmgr.
libeay32.dll is een onderdeel van PWDUMP.

Je windows wachtwoord kan dus tegen deze tijd al bekend zijn bij de hacker!
Dus zorg dat je iig meteen je passwords wijzigt als je besluit door te gaan zonder te formatteren!

[ Voor 62% gewijzigd door GeniusJennis op 07-01-2008 00:29 ]

Specs: http://specs.tweak.to/14067

maandag 7 januari 2008 00:25

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

lennartkocken schreef op maandag 07 januari 2008 @ 00:15:
[...]


Serieus windows opnieuw installeren? |:(
Jep.

En volgende keer beter uitkijken.
mischien een idee o m wat te virtualiseren?

maandag 7 januari 2008 00:36

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

lennartkocken schreef op maandag 07 januari 2008 @ 00:15:
[...]


Serieus windows opnieuw installeren? |:(
Ja, je hebt executables gekregen, ze hebben op de 1 of andere manier een programma opgestart gekregen op je computer, ik heb geen idee wat dat betreffende progje gedaan heeft dus ik zou zeggen reinstall

maandag 7 januari 2008 02:44

Acties:
  • PipoDeClown
  • Registratie: September 2000
  • Niet online

PipoDeClown

Izze Zimpell

grappig vandaag iets soortgelijks.
de scan opzich ziet er niet handmatig uit
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

195.43.186.86 - - [06/Jan/2008:20:08:54 +0100] "GET /phpMyAdmin-2.8.0.4/main.php HTTP/1.0" 404 313 "-" "-"
195.43.186.86 - - [06/Jan/2008:20:08:54 +0100] "GET /phpMyAdmin-2.8.1-rc1/main.php HTTP/1.0" 404 315 "-" "-"
195.43.186.86 - - [06/Jan/2008:20:08:54 +0100] "GET /phpMyAdmin-2.8.1/main.php HTTP/1.0" 404 311 "-" "-"
195.43.186.86 - - [06/Jan/2008:20:08:54 +0100] "GET /phpMyAdmin-2.8.2/main.php HTTP/1.0" 404 311 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 305 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 305 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /db/main.php HTTP/1.0" 404 297 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /web/main.php HTTP/1.0" 404 298 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /PMA/main.php HTTP/1.0" 404 298 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /admin/main.php HTTP/1.0" 404 300 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /dbadmin/main.php HTTP/1.0" 404 302 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:22 +0100] "GET /PMA2006/main.php HTTP/1.0" 404 302 "-" "-"
81.169.183.230 - - [06/Jan/2008:22:40:23 +0100] "GET /pma2006/main.php HTTP/1.0" 404 302 "-" "-"

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

maandag 7 januari 2008 03:23

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 23:24

gertvdijk

lennartkocken schreef op zondag 06 januari 2008 @ 23:34:
PMA: 2.6.4
PHP: 5.0.5
Jeetje ik wil wel vloeken. :o
Update je software eens joh. Van dat lek in PMA 2.6.4 is al in mei 2005 (!) melding gemaakt.
Je had dit natuurlijk kunnen verwachten op deze manier... :+

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq