Vraag & Antwoord

Beveiliging & privacy

[HELP! HACKERS!] Rajoul_Mok: Backdoor PHP C99Shell-A

2 antwoorden
  • Hallo allemaal. Ik hoop dat er iemand in Nederland is die mij kan helpen bij een of beide van de volgende zaken: - mijn server beschermen tegen hackers zoals Rajoul_Mok. - het opsporen van de persoon die mijn server gehackt heeft. Edit @ 22:20 : Zojuist heb ik aangifte gedaan via het Meldpunt CyberCrime van de politie. Ik hoop ten zeerste dat dit tot iets leidt. [b:8fafb64e15]Rajoul_Mok was here[/b:8fafb64e15] Een paar dagen geleden is mijn server gehackt door middel van een Backdoor Trojan die via een bestand-uploadpagina op mijn server is gezet (Joomla component exposé: foto's uploaden). Hiermee heeft de hacker een aantal programma's op mijn server geïnstalleerd: - een index.php waarmee hij spam kan versturen naar mensen over de hele wereld. - een max.php waarmee hij volledige toegang krijgt tot alle onderliggende mappen en mijn server: hij kan werkelijk ALLES doen: van de server geheel laten crashen tot de server volledig overnemen. Ook bevindt zich in deze map een install.php, wat de trojan is waarmee hij binnen is gekomen. De hacker doet zodanig iets met de bestanden dat je ze niet zomaar van je server kan verwijderen via FTP (ik heb ze wel kunnen renamen gelukkig): Mijn smartFTP geeft dan: [15:59:08] DELE index.php.yourwww.aerljgselutgsluegulser [15:59:08] 550 index.php.yourwww.aerljgselutgsluegulser: Permission denied Zo ziet de max.php tool eruit waarmee de hacker alles op mijn server kan doen: [URL=http://img243.imageshack.us/my.php?image=maxiz5.png][img:8fafb64e15]http://img243.imageshack.us/img243/7818/maxiz5.th.png[/img:8fafb64e15][/URL] En zo ziet de index.php eruit waarmee de hacker spam kan versturen namens mijn server (en namens ELK gewenst emailadres): [URL=http://img57.imageshack.us/my.php?image=indexpz1.png][img:8fafb64e15]http://img57.imageshack.us/img57/4167/indexpz1.th.png[/img:8fafb64e15][/URL] En het probleem is VEEL erger dan ik dacht. Met max.php kunnen ze niet alleen alles doen, ze kunnen ook ALLE bestanden bewerken en openen (ook PHP bestanden) waardoor ze bijvoorbeeld mijn MySQL databasepassword zo kunnen lezen. Ze kunnen in alle mappen nu bestanden plaatsen en verwijderen. Het is gewoon alsof ze FTP access hebben. En die applicatie is veel omvangrijker dan zo op het eerste oog lijkt: Er zit een ingebouwde editor in: [URL=http://img57.imageshack.us/my.php?image=editoriv0.png][img:8fafb64e15]http://img57.imageshack.us/img57/5349/editoriv0.th.png[/img:8fafb64e15][/URL] Ze kunnen alle bestanden zelfs CHMODden: [URL=http://img243.imageshack.us/my.php?image=chmodji6.png][img:8fafb64e15]http://img243.imageshack.us/img243/5489/chmodji6.th.png[/img:8fafb64e15][/URL] Ze hebben allerhande "handige" functies om het hacken zo makkelijk mogelijk te maken...: [URL=http://img243.imageshack.us/my.php?image=functiessx6.png][img:8fafb64e15]http://img243.imageshack.us/img243/9141/functiessx6.th.png[/img:8fafb64e15][/URL] En ze kunnen behoorlijk agressieve dingen doen met je server: [URL=http://img220.imageshack.us/my.php?image=takeoveray9.png][img:8fafb64e15]http://img220.imageshack.us/img220/6151/takeoveray9.th.png[/img:8fafb64e15][/URL] En er is nog veel meer. [b:8fafb64e15]De Hackers Opsporen[/b:8fafb64e15] Het emailadres dat de hacker opgeeft is k1r4@gmail.com, maar deze werkt niet. Het e-mail adres van de persoon die deze applicatie (max.php) heeft gemaakt bestaat wel: h3lpm3allahu@gmail.com. Daarnaast wordt deze applicatie ook veel gebruikt door een andere hacker, genaamd Spyn3t (Spyn3t@gmail.com). Nu wil ik weten of het mogelijk is hiermee bij Gmail bijvoorbeeld een IP adres op te vragen en zo de lokale authoriteiten te verzoeken deze mensen op te sporen, maar ik neem aan dat hackers wel allerlei trucjes kennen om opsporing te voorkomen. Ik heb nog geprobeerd te kijken waar de plaatjes vandaan komen die in max.php gebruikt worden, maar deze plaatjes worden op een heel rare manier gegenereerd door het php bestand (zodat er dus geen sourcedingen verwijzen naar de hacker zijn eigen server of iets dergelijks). Hieronder zal ik ook de 2 broncodes van de beide bestanden plaatsen, zodat deze geanalyseerd kunnen worden door professionele personen. Ik ben van plan dit topic ook op andere computerfora te plaatsen, omdat ik momenteel alle hulp kan gebruiken die er is! Ik ben echt ten einde raad... Ik vraag me dan altijd af wat voor soort mensen het nou leuk vinden om dit te doen. Ze verdienen natuurlijk wat geld door het versturen van spam namens mijn server (mijn provider krijgt dan de (aan-)klachten binnen), maar verder... Wat voor soort mensen zijn het die aan dit soort dingen hun tijd verdoen... Anyways: verspreidt dit probleem alstublieft op zoveel mogelijk internet fora. Ik ga deze post ook in het Engels vertalen en overal verspreiden, zodat, mocht er een oplossing gevonden worden tegen dit soort backdoors, dit voorkomen kan worden en mogelijk ook zodat deze hackers opgespoord kunnen worden! Zoals jullie misschien gezien hebben, heb ik met een paarse lijn een aantal gegevens proberen te verbergen, maar ik ben vast wel ergens wat dingen vergeten onzichtbaar te maken die kunnen leiden naar mijn gehackte server. Let me tell you this: het maakt me allemaal niets meer uit: de server is nu zodanig gehackt dat toch alles wat mij resteert is hem nu direct helemaal leeghalen en elders opnieuw beginnen. Ik hoop dat ik met deze topic iets kan starten waardoor in de toekomst opgetreden kan worden tegen dit soort hackers, want - helaas - zijn de enige sites die je nu vindt bij het Googlen op Rajoul_Mok allemaal andere sites die ook al door hem gehackt zijn. Met vriendelijke groet en bedankt voor het lezen en eventueel genomen moeite, Laurens laurens8019@gmail.com [b:8fafb64e15]Bijlagen[/b:8fafb64e15] [url=http://rapidshare.de/files/41054912/serverhack.rar.html]2 PHP bestanden in een RAR[/url]
  • Het opsporen van de persoon heeft geen zin, dat kost je alleen maar een hoop energie en deze persoon kan overal op de wereld wonen. Daarbij, als je site lek is en deze persoon hackt hem niet, dan doet een ander dat wel. Wat wel zin heeft is je webserver en je website beveiligen tegen dit soort zaken. Nummer 1 is dan up to date blijven met je Joomla en alle geinstalleerde modules! Abbonneer je op de mailing list om op de hoogte te zijn van nieuwe lekken. Verder zijn er nog een aantal zaken die je server kunnen harden tegen dit soort dingen. 1: Zorg dat er geen kernelsources aanwezig zijn op je server, een aanvaller kan dan bijvoorbeeld geen kernelmodule compilen om zo achter je firewall langs een ssh connectie op te zetten. 2: Zorg dat je /tmp directory een aparte partitie is die gemount is zonder execute rechten, veel scripts werken vanuit de /tmp directory en op die manier houd je de minder slimme scriptkiddies al buiten. 3: Gebruik geen mod_php maar mod_fcgid. 4: Gebruik een hardened profile. (afhankelijk van distro natuurlijk) 5: Houd je server ook goed up to date! Eigenlijk is een keer gehacked worden helemaal niet erg, je leert er namelijk een hele hoop van en de kans dat het je erna weer gebeurt is een stuk kleiner. Toch is die kans altijd aanwezig! Zeker als er sites van meerdere personen op je server gehost worden, die dit lesje nog niet geleerd hebben. Zorg dus ook voor een goed backup rotation systeem (bijvoorbeeld dirvish) en maak ook na iedere update een stage4 van je systeem, doe dit het liefste naar een andere server of offline! Op die manier ben je in het ergste geval altijd weer up en running binnen een uur of 2, in tegenstelling tot diegenen die een server opnieuw moeten gaan opzetten en daarbij ook nog eens hun website voor een groot deel kunnen gaan herbouwen. Verder zou ik die php bestandjes wel van je willen hebben, om aan mijn eigen bibliotheek toe te voegen. Ik test dat soort dingen vaak op mijn eigen servers en wanneer ik er vatbaar voor ben, probeer ik daar wat tegen te doen. Zet deze files alleen liever niet weer publiek onder je post, maar doe mij even een pm met een linkje. We willen niet dat anderen met mindere bedoelingen daar makkelijk aan komen. Verder wil ik je best helpen de boel wat verder te verharden, maar dan liefst via irc ofzo. Als je daar behoefte aan hebt, laat dat dan ook even in een PM weten.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.