Re: Host gehackt, MySQL backup zurückspielen?
Posted: Thu 14. Aug 2008, 18:47
Das komische ist einen Tag davor hat sich ein User in meinem Blog (Wordpress, auf dem neusten stand + alles pluguins aktuell!) angemeldet, der erste LOL. Hab mich gefreut, am nächsten Tag dann kam die Email von meinem Provider wegen meinem vServer. Heute hab ich nochmals eine bekommen, scheint wohl ein bisschen verspätet zu sein, denn der server ist total platt und off:
Code von der bid.php:
Ich gehen davon aus der dieser neu angemeldete User dies eingeschleust hat.Sehr geehrter Kunde,
wir wurden darauf aufmerksam gemacht, dass von Ihrem VServer Attacken ausgehen.
Folgende Nachricht hat uns erreicht:
---
[...]
http://mediaportalx.de/blog/wp-content/ ... aa/bid.php
Here ai send you source cod from malicios scripts:
...
function loading1($emd, $itemd) {
set_time_limit(0);
flush();
usleep(50000);
$xemd = "madme-".$emd;
$les = get_between($xemd, 'madme-','@');
$mak = $les."</td><td align=center> - </td><td>";
$agent = "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.4) Gecko/20030624
Netscape/7.1 (ax)";
$LOGINURL = "http://mediaportalx.de/blog/wp-content/ ... aa/bid.php";
$POSTFIELDS = '&nr='.$itemd;
$reffer = "http://mediaportalx.de/blog/wp-content/ ... aa/bid.php";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$LOGINURL);
curl_setopt($ch, CURLOPT_USERAGENT, $agent);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS,$POSTFIELDS);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_REFERER, $reffer);
$result = curl_exec ($ch);
//$user = get_between($result, '.0</td></tr><tr><td>', '</td>');
$pret = get_between($result, $mak, '</td>');
curl_close ($ch);
echo "E-mail : ".$emd." - Pret: ".$pret." - Item: ".$itemd;
echo "<br>------------------<br>";
[...]
---
Wir gehen davon aus, dass Sie dies nicht mutwillig getan haben. Scheinbar ist es Dritten gelungen, vermutlich über ein unsicheres
Webscript,
Daten in Ihren Account zu übertragen, die nun für böswillige Zwecke verwendet werden.
Wir bitten Sie inständig, die Dateien umgehend aus Ihrem Account zu löschen. Außerdem bitten wir um Beseitigung der "Sicherheitslöcher"
in Ihren Scripten.
Wir behalten uns vor Ihren Account kurzfristig zu sperren, um einen weiteren Mißbrauch zu vermeiden.
Mit freundlichen Grüßen
Ihr Abuse-Team
[netclusive] internet broadcasting GmbH
Code von der bid.php:
Code: Select all
<table align=left><tr><?
if($_SERVER[REQUEST_METHOD] == 'POST'){
$url = 'http://ebay.auction.co.kr/ebay/getAllBidder.php?ItemID=';
$body = file_get_contents($url.trim($_POST[nr]));
$bidders = explode("target='_getuser'>", $body);
$prices = explode("<td>HighestBid</td><td>", $body);
echo "<td>Bidder</td><td align=center> - </td><td>Pretz</td></tr>";
flush();
for($i=1;$i<count($bidders);$i++){
$bidder = explode('</a></td>', $bidders[$i]);
$price = explode('</td>', $prices[$i]);
echo '<tr><td>'.$bidder[0].'</td><td align=center> - </td><td>'.$price[0].'</td></tr>';
flush();
}
echo '</table>';}else{?>
<form method=post action="">
<input type=text name=nr>
<input type="submit" value="Vezi Bidderi">
</form>
<?}?>