• 15.07.2025, 14:06
  • Registrieren
  • Anmelden

  • Sie sind nicht angemeldet.

 

Was ist das für ein Exploit-Skript?

Bluefake

God

Was ist das für ein Exploit-Skript?

Samstag, 6. August 2005, 00:20

Ich habe eben gerade in mein Protokoll geguckt und einen gescheiterten unerlaubten Zugriffsversuch auf eine meiner Seiten entdeckt. Das Skript, welches mir untergemogelt werden sollte, konnte ich isolieren. Es ist hier zu finden:

http://www.conagreen.it/cmdshell.gif?

In dem GIF verstekct sich ein Skript, welches sich nach einfachen Umbenennen in .txt lesen lässt. Es ist leider zu lang für das Forum, um es darzustellen.

Was ist das und welche Infos werden damit ausspioniert.
Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Anisachse

God

Re: Was ist das für ein Skript?

Samstag, 6. August 2005, 00:39

also gazn genau kann ich dir das nicht sagen.

aber so wie es aussieht soll das script die einstellungen deiner php installation ausspionieren

ob man schreiben darf.
welche rechte der user hat.
ob php in safe mod läuft und und und


außerdem versucht er deinen linux kernel zu patchen, frag mich nicht mit was. aber les dir das mal genau durch

Shoggy

Sven - Admin

Re: Was ist das für ein Skript?

Samstag, 6. August 2005, 00:45

So vom ersten Blick her würde ich sagen das Script liest erstmal die allgemeine Konfiguration aus und versucht (falls die Rahmenbedingungen stimmen) naträglich Software zu installieren um scheinbar den Server unter Kontrolle zu bringen.

Wenn ich die Datei mit F-Secure scanne bekomme ich als Infektion "Exploit.PHP.e" angezeigt. Vom Namen her versucht das Script wohl über eine Sicherheitslücke zu arbeiten.

Ich kann nur mutmaßen, dass dieses Script wohl mittels Injection über globale Variablen auf den Webspace gebracht wird. Also diese netten Links a la photos.php?variable=diebösedatei.gif ;) Wenn das nicht ordentlich gemacht ist könnte des Script den Inhalt einlesen und ausführen.

Bluefake

God

Re: Was ist das für ein Skript?

Samstag, 6. August 2005, 00:52

Wie mies!

Lohnt in diesem Fall eine Anzeige? Ist ja schließlich eine italienische Seite.
Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

PAB

God

Re: Was ist das für ein Skript?

Samstag, 6. August 2005, 00:56

Sieht für mich wie eine Art Toolbox für Serverübernahmen aus.
Es ist eine Sammlung von Hilfsfunktionen, u.a. zum ausführen und uploaden von Dateien.
Ausserdem sind die Quelltexte zweier Programme enthalten, einer Remoteshell und einem Exploit für den Linux-Kernel.

Shoggy

Sven - Admin

Re: Was ist das für ein Exploit-Skript?

Samstag, 6. August 2005, 04:11

Bluefake, ich würde sagen diese italienische Seite ist bereits selbst ein Opfer. Zumindest wenn man sie normal aufruft sieht es nach einer Art kleinem Portal für Agrarwirtschaft aus - ich denke nicht, dass die sich für andere Server interessieren ;)

derJoe

Senior Member

Re: Was ist das für ein Exploit-Skript?

Samstag, 6. August 2005, 04:45

Dann sollte man sie aber auf jeden Fall darauf hinweisen, dass ihr Server so etwas verschickt. Falls das wider Erwarten nichts bringt wäre eine Anzeige aber angebracht.

Gruß

derJoe

Y0Gi

God

Re: Was ist das für ein Exploit-Skript?

Samstag, 6. August 2005, 15:37

das script ist eine parametrisierbare weboberfläche, um zunächst die ausgabe an syslog zu beenden, systeminformationen und scripte/dateien auszulesen (für pfade, passwörter usw.), einfache tcp-connect-scans auf ports der bekanntesten (und möglicherweise verwundbaren) dienste auszuführen, email zu verschicken, code hochzuladen und auszuführen sowie eine backdoor auf port 80 zu installieren und einen kernel-exploit auszuführen, um root-rechte zu erlangen.

die beschreibung auf http://vil.nai.com/vil/content/v_129568.htm trifft recht gut auf dieses script zu.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Bluefake

God

Re: Was ist das für ein Exploit-Skript?

Samstag, 6. August 2005, 15:43

Klingt ja hoch interessant. Jetzt sind schon die Server und nicht mehr die Homeuser im Fokus. Klingt alles fast so, wie bei HTN.

Aber zum Glück hat Y0Gi mich schon vor längerer Zeit vor solch einer Möglichkeit gewarnt, so dass ich Schutzmaßnahmen treffen konnte.

Zumindest ist meine Page noch in meiner Gewalt. Sollte auch eigentlich kein lohnenswertes Ziel sein.
Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Was ist das für ein Exploit-Skript?

Samstag, 6. August 2005, 16:29

server waren schon immer ein lohnendes ziel :)

so ein schnell angebundener, rund um die uhr laufender und (bei den opfern) meist schlecht bis gar nicht überwachter server hat auch seine vorteile gegenüber botnets aus dial-in-usern mit geringer bandbreite, die auch noch neugierig werden, wenn counter-strike ruckelt.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)