Hi Leute
hab heut morgen nicht schlecht gestaund als ich auf meinem Server zuhause einen Blick rein warf.
Am 15.9.07 hatte ich scheinbar besuch aus Russland. Auf meiner Page befand sich lediglich eine Datei namens portal.php da drin sah es so aus:
Code:
<?php
$var = $_COOKIE['duranacal'];
$var2 = $_COOKIE['avant'];
if(!isset($var))
{
setcookie("duranacal","0",time()+60*60*24);
header("Location: http://duranacal.com/x-portal.php?username=belchior");
}
elseif($var<10)
{
$visitas = $var;
$vn = $visitas+1;
setcookie("duranacal","$vn",time()+60*60*24);
header("Location: http://duranacal.com/x-portal.php?username=belchior");
}
elseif(!isset($var2))
{
setcookie("avant","0",time()+60*60*24);
header("Location: http://avant-search.com/x-portal.php?username=belchior");
}
elseif($var2<10)
{
$visitas = $var2;
$vn = $visitas+1;
setcookie("avant","$vn",time()+60*60*24);
header("Location: http://avant-search.com/x-portal.php?username=belchior");
}
else
{
header("Location: http://www.trafficgainer.com/red.php?id=764");
}
?>
naja, irgend welche aufrufe zu irgend welchen Portalen halt, deswegen mache ich mir kaum sorgen. was mich aer nachdenklich mache wahr.. wie schaffte er es ein File auf meinem Server zu generieren..
Als ich dann ins Web-Verzeichnis von der Website meiner Schwester ging, schluckte ich den Kaffe den ich grade am Trinken war gleich 2 Mal
Da wahren insgesamt 3 neue Files. das erste hiess bjorn.php (gehe davon aus das der der das gemacht hat bjorn hiess
das 2te File hiess ulala.php(bescheurter Name für ein File aber dieses File rufte Björn.php auf eund eine config Datei die nicht vorhanden wahr. und das 3te File wahr komischerweise eine kopie meiner Indexdatei von meiner page. date erst ich hätte sie vieleicht mal aus versehn da reinkopiert aber als och das erstellungs datum sah, dachte ich das es vieleicht björn sein könnte der es hier irgendwie hinkopiert hat.
auf jedenfall hat sich björn ziemmliche mühe gegeben das File zu schreiben, den aus dem File ist rauszulesen das er sich erst ein paar infos vom System raussuchen lässt, name, cpu, harddisk buchstaben usw.. danach geht es gleich weiter und er versucht diverse cmd comands auszuführen.
dann fangen die unix befehle an und er erstellt im tmp einige ordner, zwischen durch ladet er einige programme runter und irgendwann jagt er diverse sql befehle durch wobei er versuch diverse tabellen zu löschen.
Der Script sieht sehr interessant aus, aber da ich angst habe das gewisse Kidis damit blösinn anstellen könnten halte ich mich mal zurück um den script hier reinzustellen.
Wie er das geschafft hat die Daten zu erstellen habe ich mittlerweil rausgefunden, und das interessante ist das er schon im vortag einiges gechect hat um das auszuführen wie ich aus meinen Logs erfahren habe.
Wohl oder über muss ich wiedermal mein System Prüfen ob da was komischen vorhanden ist, neue Benutzer, Irgendwelhe ausgehenden verbindungen die ich nicht kenne oder sonstiges, aber im grossen und ganzen muss ich sagen das ich immerwieder Faziniert bin wie die leute vorgehen um sowas zu bewerkstelligen.
EDIT:
komisch, zeigt nix in der Code Box an ;_;
Network Security Team - lässt grüssen -
03.10.2007, 09:09
