security attack was stopped! - WIEDER!!!!!!

Super-boy339 · 29. Dezember 2009, 14:50

In letzter zeit bekomme ich immer wieder eine e-mail, von mir selber, d.h.: ich bekome von z.B.: meine-domaine-email@info.de eine e-mail an meine-domaine-email@info.de, die so aussieht:

Total impact: 34
Affected tags: xss, csrf, id, rfe, lfi

Variable: REQUEST.Hobbies.0 | Value: gva3A5 <a href=\"jdsypjhjdztv.com/\">jdsypjhjdztv</a>, zhmufhsvrpza, [link=http://qlgvchuzqejf.com/]qlgvchuzqejf[/link], vvslmrkragzq.com/
Impact: 17 | Tags: xss, csrf, id, rfe, lfi
Description: finds html breaking injections including whitespace attacks | Tags: xss, csrf | ID: 1
Description: Detects JavaScript language constructs | Tags: xss, csrf, id, rfe | ID: 20
Description: Detects obfuscated script tags and XML wrapped HTML | Tags: xss | ID: 33
Description: Detects url injections and RFE attempts | Tags: id, rfe, lfi | ID: 61

Variable: POST.Hobbies.0 | Value: gva3A5 <a href=\"jdsypjhjdztv.com/\">jdsypjhjdztv</a>, zhmufhsvrpza, [link=http://qlgvchuzqejf.com/]qlgvchuzqejf[/link], vvslmrkragzq.com/
Impact: 17 | Tags: xss, csrf, id, rfe, lfi
Description: finds html breaking injections including whitespace attacks | Tags: xss, csrf | ID: 1
Description: Detects JavaScript language constructs | Tags: xss, csrf, id, rfe | ID: 20
Description: Detects obfuscated script tags and XML wrapped HTML | Tags: xss | ID: 33
Description: Detects url injections and RFE attempts | Tags: id, rfe, lfi | ID: 61

REMOTE_ADDR: 93.152.136.96
HTTP_X_FORWARDED_FOR:
HTTP_CLIENT_IP:
SCRIPT_FILENAME: /kunden/homepages/9/d13449952/htdocs/frederik/nashorn/join.php
QUERY_STRING:
REQUEST_URI: /join.php
QUERY_STRING:
SCRIPT_NAME: /join.php
PHP_SELF: /join.php

das ist vom dolphin von meiner seite....
habe mir mal ein bisschen rat geholt im boonex forum:
das bedeutet, das irgendjemand meinen e-mailserver verwendet. oda so.....

jetzt habe ich eine .htaccess datei ins verzeichnis frederik reingeworfen, so das wenn man auf meine seite zugreifen muss einen benutzer mit passwrt angeben muss, und schwubs ich habe heute und gestern keine nachrichten mehr bekommen!!!!! :denk: :denk: :denk: :rolleyes:

woran liegt das???
ich will die htaccess datei wieder löschen.

meine .htaccess datei im homeverzeichnis sieht so aus:

AddType x-mapp-php5 .php

Options -MultiViews

<IfModule mod_php4.c>
php_flag register_globals Off
</IfModule>
<IfModule mod_php5.c>
php_flag allow_url_include Off
php_flag register_globals Off
</IfModule>

<IfModule mod_rewrite.c>
RewriteEngine on

RewriteRule ^blogs/{0,1}$ modules/boonex/blogs/blogs.php [QSA,L]
RewriteRule ^blogs/all/([0-9]+)/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?page=$2&per_page=$1 [QSA,L]
RewriteRule ^blogs/top/{0,1}$ modules/boonex/blogs/blogs.php?action=top_blogs [QSA,L]
RewriteRule ^blogs/top/([0-9]+)/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=top_blogs&page=$2&per_page=$1 [QSA,L]
RewriteRule ^blogs/top_posts/{0,1}$ modules/boonex/blogs/blogs.php?action=top_posts [QSA,L]
RewriteRule ^blogs/top_posts/([0-9]+)/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=top_posts&page=$2&per_page=$1 [QSA,L]
RewriteRule ^blogs/tag/([^/.]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=search_by_tag&tagKey=$1 [QSA,L]
RewriteRule ^blogs/tag/{0,1}$ modules/boonex/blogs/blogs.php?action=search_by_tag&tagKey= [QSA,L]
RewriteRule ^blogs/posts/([^/.]+)/tag/([^/.]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=search_by_tag&tagKey=$2&ownerName=$1 [QSA,L]
RewriteRule ^blogs/posts/([^/.]+)/category/([^/.]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_blog&ownerName=$1&categoryUri=$2 [QSA,L]
RewriteRule ^blogs/entry/([^/.]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_post&postUri=$1 [QSA,L]
RewriteRule ^blogs/entry/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_post&postUri= [QSA,L]
RewriteRule ^blogs/posts/([^/.]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_blog&ownerName=$1 [QSA,L]
RewriteRule ^blogs/posts/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_blog&ownerName= [QSA,L]
RewriteRule ^blogs/posts/([^/.]+)/([0-9]+)/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_blog&ownerName=$1&page=$3&per_page=$2 [QSA,L]
RewriteRule ^blogs/posts/([^/.]+)/category/([^/.]+)/([0-9]+)/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_blog&ownerName=$1&categoryUri=$2&page=$4&per_page=$3 [QSA,L]
RewriteRule ^blogs/home/{0,1}$ modules/boonex/blogs/blogs.php?action=home [QSA,L]
RewriteRule ^blogs/all_posts/{0,1}$ modules/boonex/blogs/blogs.php?action=all_posts [QSA,L]
RewriteRule ^blogs/popular_posts/{0,1}$ modules/boonex/blogs/blogs.php?action=popular_posts [QSA,L]
RewriteRule ^blogs/featured_posts/{0,1}$ modules/boonex/blogs/blogs.php?action=featured_posts [QSA,L]
RewriteRule ^blogs/tags/{0,1}$ modules/boonex/blogs/blogs.php?action=tags [QSA,L]
RewriteRule ^blogs/show_calendar/{0,1}$ modules/boonex/blogs/blogs.php?action=show_calendar [QSA,L]
RewriteRule ^blogs/my_page/{0,1}$ modules/boonex/blogs/blogs.php?action=my_page&mode=main [QSA,L]
RewriteRule ^blogs/my_page/add/{0,1}$ modules/boonex/blogs/blogs.php?action=my_page&mode=add [QSA,L]
RewriteRule ^blogs/my_page/manage/{0,1}$ modules/boonex/blogs/blogs.php?action=my_page&mode=manage [QSA,L]
RewriteRule ^blogs/my_page/pending/{0,1}$ modules/boonex/blogs/blogs.php?action=my_page&mode=pending [QSA,L]
RewriteRule ^blogs/my_page/edit/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=edit_post&EditPostID=$1 [QSA,L]
RewriteRule ^blogs/member_posts/([0-9]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=show_member_blog&ownerID=$1 [QSA,L]
RewriteRule ^blogs/category/([^/.]+)/{0,1}$ modules/boonex/blogs/blogs.php?action=category&uri=$1 [QSA,L]

RewriteRule ^ads/{0,1}$ modules/boonex/ads/classifieds.php?Browse=1 [QSA,L]
RewriteRule ^ads/my_page/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page [QSA,L]
RewriteRule ^ads/my_page/add/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page&mode=add [QSA,L]
RewriteRule ^ads/my_page/edit/([0-9]+)/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page&mode=add&EditPostID=$1 [QSA,L]
RewriteRule ^ads/my_page/edit/([0-9]+)/dimg/([0-9]+)/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page&mode=add&EditPostID=$1&dimg=$2 [QSA,L]
RewriteRule ^ads/my_page/manage/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page&mode=manage [QSA,L]
RewriteRule ^ads/my_page/pending/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page&mode=pending [QSA,L]
RewriteRule ^ads/my_page/disapproved/{0,1}$ modules/boonex/ads/classifieds.php?action=my_page&mode=disapproved [QSA,L]
RewriteRule ^ads/cat/([^/.]+)/{0,1}$ modules/boonex/ads/classifieds.php?catUri=$1 [QSA,L]
RewriteRule ^ads/all/cat/([0-9]+)/([0-9]+)/([^/.]+)/{0,1}$ modules/boonex/ads/classifieds.php?catUri=$3&page=$2&per_page=$1 [QSA,L]
RewriteRule ^ads/subcat/([^/.]+)/{0,1}$ modules/boonex/ads/classifieds.php?scatUri=$1 [QSA,L]
RewriteRule ^ads/all/subcat/([0-9]+)/([0-9]+)/([^/.]+)/{0,1}$ modules/boonex/ads/classifieds.php?scatUri=$3&page=$2&per_page=$1 [QSA,L]
RewriteRule ^ads/entry/([^/.]+)/{0,1}$ modules/boonex/ads/classifieds.php?entryUri=$1 [QSA,L]
RewriteRule ^ads/tag/([^/.]+)/{0,1}$ modules/boonex/ads/classifieds_tags.php?tag=$1 [QSA,L]
RewriteRule ^ads/calendar/{0,1}$ modules/boonex/ads/classifieds.php?action=show_calendar [QSA,L]
RewriteRule ^ads/categories/{0,1}$ modules/boonex/ads/classifieds.php?action=show_categories [QSA,L]
RewriteRule ^ads/tags/{0,1}$ modules/boonex/ads/classifieds.php?action=tags [QSA,L]
RewriteRule ^ads/all_ads/{0,1}$ modules/boonex/ads/classifieds.php?action=show_all_ads [QSA,L]
RewriteRule ^ads/top_ads/{0,1}$ modules/boonex/ads/classifieds.php?action=show_top_rated [QSA,L]
RewriteRule ^ads/popular_ads/{0,1}$ modules/boonex/ads/classifieds.php?action=show_popular [QSA,L]
RewriteRule ^ads/featured_ads/{0,1}$ modules/boonex/ads/classifieds.php?action=show_featured [QSA,L]

RewriteRule ^search/tag/([^/.]+)/{0,1}$ search.php?Tags=$1 [QSA,L]

RewriteRule ^browse/([^/.]+)/([^/.]+)/([^/.]+)$ browse.php?sex=$1&age=$2&country=$3 [QSA,L]

RewriteRule ^m/(.*)$ modules/index.php?r=$1 [QSA,L]

RewriteRule ^forum/groups/(.*)$ modules/boonex/forum/$1?orca_integration=groups [QSA,L]
RewriteRule ^forum/events/(.*)$ modules/boonex/forum/$1?orca_integration=events [QSA,L]
RewriteRule ^forum/store/(.*)$ modules/boonex/forum/$1?orca_integration=store [QSA,L]
RewriteRule ^forum/(.*)$ modules/boonex/forum/$1 [QSA,L]

RewriteRule ^page/(.*)$ viewPage.php?ID=$1 [QSA,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule .+ - [L]
RewriteRule ^([^/]+)$ profile.php?ID=$1 [QSA,L]

</IfModule>

AddType application/vnd.adobe.air-application-installer-package+zip .air
AddType application/x-shockwave-flash .swf

ich musste da den kompf ändern, sonst habe ich die übliche meldung, das register_globals on is usw...

kann mir jemand helfen???

mailkisses · 29. Dezember 2009, 20:50

Ich bekomme diese Meldung auch, allerdings in sehr unregelmässigen Abständen. Mal alle paar Stunden und dann ist wieder mehrere Tage Ruhe.

Super-boy339 · 30. Dezember 2009, 10:53

Du solltest das gleiche wie ich machen, einem Freund von meinem dad hatte das gleiche, und ihm wurde Dei Webseite gesperrt!!! Sonst weis niemand was???

Super-boy339 · 30. Dezember 2009, 13:16

Hey ich glaube ich habe das Problem gelost. Man muss die htaccess Datei im Homeverzeichnis verändern. Das erste Problem ist, wenn man die datei verändert, hat man das problem mit dem Mod_Write.
Ich kann leiser zurzeit nicht an meinem pc, ich muss den erst wieder neu aufsetzten.ich hänge dann ich nächsten Beitrag eine Datei anhängen.

Aber hier mal eine Beschreibung.
Davor die .htaccess Datei sichern.

1.Offne das homeverzeichnis von dolphin
2.Offne die .htaccess Datei
3.In der ersten zeile steht meistens etwas mit add
4.Diese Zeile veränderst du NICHT
5.Die zweite Zeile bis zu </include> (mit include) kannst du loschen
6.Speichern und hochladen
7.Fertig

Das musste es gewesen sein. Bei mir funktioniert es bis jetzt. Ich werde euch im nächsten Jahr sagen ob ich wieder eine e-Mail bekommen habe.

Ich habe diese Beschreibung aus meinem Kopf gemacht.
Fals da etwas nicht stimmen sollte ist das nich mein prob.
Wie gesagt, sobalt ich wieder an meinen pc komme, schicke ich euch die Datei.

Freddy

Super-boy339 · 30. Dezember 2009, 13:30

so im anhang die .htaccess datei. damit hat es bei mirfunktioniert.
schreibz mir dann bitte obs funz

freddy

aaaasaaaa · 30. Dezember 2009, 13:33

ich habs nicht getestet,
aber ich kann dir jetzt schon sagen, dass alle links dann im arsch sind..
vll. irre ich mich, da ich die 7ner nicht ausgiebig gestestet habe,
vll. verbirgt sich dort noch ein db cached schutz,
aber normalerweise ist dann alles.. tja, kaputt.

gruß

Super-boy339 · 30. Dezember 2009, 13:36

Genau dass habe ich auch gedacht, man muss eig nur im Admin Bereich alle permalinks abschalten, und wie ein Wunder geht's!!!

aaaasaaaa · 30. Dezember 2009, 16:18

öffne die seite: /ray/modules/global/inc/content.inc.php

finde: if (isset($_REQUEST['sIncPath']))

füge darunter den code ein: die ('Hacking attempt');

so sollte es dann aussehen:

if (isset($_REQUEST['sIncPath']))
die ('Hacking attempt');
require_once($sIncPath . "xml.inc.php");
require_once($sIncPath . "constants.inc.php");
require_once($sIncPath . "apiFunctions.inc.php");
......

das sollte das wesentlichste abdecken.

gruß

mailkisses · 30. Dezember 2009, 16:40

Danke aaaaaasaaaaa, das werde ich mal ausprobieren!

Das geht auch für die neue 7-ner Version? Weil du bist ja noch einer der letzten Mohikaner aus der «Dynastie 6.1.4»......

aaaasaaaa · 30. Dezember 2009, 16:58

sry. geht nur mit der 6er versionen.. hab den thread title nicht gelesen.
für die 7ner kenne ich derzeit keine lösung.

Super-boy339 · 30. Dezember 2009, 18:18

sorry, aber da muss ich dich leider enttäuschen!!!
denn das verzeichnis ray gibt es bei dolphin 7 nicht!!!
da müsste man wendern ins verzeichnis /modules/boonex/ gehen, aber selbst da gibst kein ray

also das war nicht gerade die beste iddee sorry

freddy

Super-boy339 · 7. Januar 2010, 11:07

hallo ich wieda,

habe das problem wieder:

email:

Total impact: 16
Affected tags: xss, csrf

Variable: REQUEST.Hobbies.0 | Value: Very nice site! <a href=\"aixypeo.com/ayraya/1.html\">is it yours too</a>
Impact: 8 | Tags: xss, csrf
Description: finds html breaking injections including whitespace attacks | Tags: xss, csrf | ID: 1
Description: Detects obfuscated script tags and XML wrapped HTML | Tags: xss | ID: 33

Variable: POST.Hobbies.0 | Value: Very nice site! <a href=\"aixypeo.com/ayraya/1.html\">is it yours too</a>
Impact: 8 | Tags: xss, csrf
Description: finds html breaking injections including whitespace attacks | Tags: xss, csrf | ID: 1
Description: Detects obfuscated script tags and XML wrapped HTML | Tags: xss | ID: 33

REMOTE_ADDR: 69.46.16.14
HTTP_X_FORWARDED_FOR:
HTTP_CLIENT_IP:
SCRIPT_FILENAME: /kunden/homepages/9/d13449952/htdocs/frederik/nashorn/join.php
QUERY_STRING:
REQUEST_URI: /join.php
QUERY_STRING:
SCRIPT_NAME: /join.php
PHP_SELF: /join.php

diesmal heist der betreff anderst:
xxxxWEBSEITExxxx/ - possible security attack!

die htaccess datei habe ich verändert: siehe oben anhang.

ich muss die webseite wieder sperren, was ist da los???

jetzt werde ich angegriffen, und der agriff wird noch nicht einmal gestoppt!!!

kann hier mal jemand etwas reinschreiben, was auch was nützt???!!!!

freddy

Sunkal · 9. Januar 2010, 19:46

Hallo, hatte auch das Problem vor einigen Tagen. Habe es gelöscht und bis jetzt Ruhe...Die Frage ist ja: sind nur wir davon betroffen oder die gesamte D7 Gemeinde...Wäre wichtig dies mal in Erfahrung zu bringen damit man die Typen von Boonex mal anschreibt dass ein tool eigebaut wird das dies unterbindet....

Sunkal · 9. Januar 2010, 19:53

Hallo, kann das die Lösung sein????

hier der Link:

boonex.com/trac/dolphin/ticket/1467

Super-boy339 · 9. Januar 2010, 20:09

ich glaube es nicht, das ist irgendwie unglaubwürdig!!!!

Sunkal · 9. Januar 2010, 20:12

Seltsam ist dass Boonex dovon weis und eigentlich nichts tut. Meiner Meinung nach kommt der Dreck direkt von denen, da die dieses Script ja nicht mehr allein bearbeiten sondern in die ganze Welt verteilt haben um es endlich fertig zu bekommen..Das sitzen Programmers aus Asien, Afrika und arround the World dran.Möglicherweise macht da einer Werbung...

Super-boy339 · 9. Januar 2010, 20:16

hier im dolphin müssten einfach mal alle zusammen arbeiten, und dann dolphin dennen mal "reperiert" vorstellen bin ich der meinung

Sunkal · 9. Januar 2010, 21:09

Stimmt, aber leider kocht hier jeder sein eigenes Süppchen bis auf einige wenige..Schade...Soviel zum Zusammenhalt ( Community ).....

kemal · 11. Januar 2010, 11:40

Hallo,
Zunächst einmal bin ich nicht Englisch sprechen, so i appologyse im Voraus, wenn Sie einige Mühe, meinen Beitrag zu verstehen. Ich habe von diesem Trojaner angegriffen worden, i steigen sie mit dem Einsatz der regelmäßigen Anti-Virus-(oder avast kasperski) mit dem letzten Update zu befreien und auch Malwarebytes Anti-Malware (die ein sehr gutes Produkt auf dem Wege ist). Danach habe ich alle meine FTP-Passwort zu ändern und für meinen FTP-Server, der von den IFrames infizierten sauber, verwende ich eine web (php) Anwendung Iframe.attack V1.1, den weichen, nachdem durch im Inneren der Wurzeln meiner Server-Scan alle Dateien, die auf der Suche nach iframes und bieten mir die Möglichkeit, die schädliche iframe entfernen, dass eine sehr große Hilfe war für mich, weil mein Server ist ziemlich groß (ca. 16.000 Dateien), die weiche 286 beschädigte Datei zu finden und zu lösen mit einem Klick, sehr greatfull Release für mich. Video-Demo der solft finden Sie hier: kawablog.com/scarabox/product.php?id_produit=1&id_rub=2
Ich hoffe, dass für alle hilfreich sein können.

kawablog.com/scarabox/product.php?id_produit=1&id_rub=2

kemal · 14. Januar 2010, 11:31

Original von kemal
Hallo,
Zunächst einmal bin ich nicht Englisch sprechen, so i appologyse im Voraus, wenn Sie einige Mühe, meinen Beitrag zu verstehen. Ich habe von diesem Trojaner angegriffen worden, i steigen sie mit dem Einsatz der regelmäßigen Anti-Virus-(oder avast kasperski) mit dem letzten Update zu befreien und auch Malwarebytes Anti-Malware (die ein sehr gutes Produkt auf dem Wege ist). Danach habe ich alle meine FTP-Passwort zu ändern und für meinen FTP-Server, der von den IFrames infizierten sauber, verwende ich eine web (php) Anwendung Iframe.attack V1.1, den weichen, nachdem durch im Inneren der Wurzeln meiner Server-Scan alle Dateien, die auf der Suche nach iframes und bieten mir die Möglichkeit, die schädliche iframe entfernen, dass eine sehr große Hilfe war für mich, weil mein Server ist ziemlich groß (ca. 16.000 Dateien), die weiche 286 beschädigte Datei zu finden und zu lösen mit einem Klick, sehr greatfull Release für mich. Video-Demo der solft finden Sie hier: kawablog.com/scarabox/product.php?id_produit=1&id_rub=2
Ich hoffe, dass für alle hilfreich sein können.

kawablog.com/scarabox/product.php?id_produit=1&id_rub=2

habe vor ein paar tagen installiert und jetzt bekomme ich keine "possible security attack" mehr bin gespant wie lange das dauert :denk: :denk: :denk:

security attack was stopped! - WIEDER!!!!!!

security attack was stopped! - WIEDER!!!!!!

RE: security attack was stopped!

RE: security attack was stopped!

Teilen