Ascrimez Kit - r57 Shell

[Uwe]

Hi @ All.

Ein frohes neues Jahr wünsche ich euch.

Um was geht es es ? Der Begriff "Ascrimez Kit" bezieht sich auf ein PHP-Skript basiert Hacking-Kit. Es ist eine Sammlung von mehreren Dateien (insgesamt 4 Dateien), einschließlich einer vollständigen Schale, ein Spam-Bot, ein Datei-Explorer und ein Antragsteller, die verwendet werden, um verwundbare Systeme finden kann. Näheres dazu hier: http://web17.webbpro.de/index.php?page=ascrimez-kit

Ich hatte bis vor kurzem Probleme mit diesem Kit. Es war bis vor kurzem auf meinem Server vorhanden. Wie es reingekommen ist weis ich bis heute nicht. Soweit so gut. Habe alle Scripte dieses Kits vom Server gelöscht. Den Server neu aufgesetzt ( Script vorher zum Begutachten gesichert ). Laut den Serverlogs erfolgen immer noch täglich vergebliche Versuche auf die nicht mehr vorhandene errors.php dieses Kits. Bisher habe ich diese IP in der .htaccess ausgesperrt. Die kommen nun immer einen "Acess denied by Serverconfig". Nur macht es auf Dauer keinen Spass die Blacklist immer zu vervollständigen. Wird immer länger. Modscurity für Apache ist schwer zu konfigurieren. Ich möcht den Zugriff auf diese Datei verhindern. Zielstellung soll sein das die IP sofort gesperrt wird. Nun meine Idee. Wenns mit Modsecurity nicht geht würde ich eine "eigene" errors.php erstellen. Wie müsste das Script in der errors.php aussehen das die IP der Gegenseite "sofort" dem CTXtra übergeben wird und diese sofort auf der Blacklist landet. Wäre mal ein interessantes Projekt finde ich. Und man könnte Hacker beinahe sofort aussperren.
Unter der obigen URL gibts dieses Hacking-Kit auch zum Download. Da kann man es sich mal angucken. Ist ganz interessant.

Noch etwas. Wie kann man den CTXtra - Tip ausblenden ? Ganz lustig, aber etwas nervig finde ich. Hab keine Lust den immer nachzurücken .

Gruss Uwe

[Uwe]

Mal hoch schieb...

Hat keiner eine Idee ?

PS: Könnt ihr den CTXtra-Tipp nicht fest einbauen ? Ist irgendwie nervig den immer nach zuschieben.

[Uwe]

Schade.

Früher hat man wenigstens hier ne Antwort erhalten.

Hab das Problem erstmal mittels eines Scriptes gelöst.
Wenn einer der Möchtegernhacker weiterhin die errors.php aufruft geht es über eine IP Abfrage und SQL gestützt sofort ins Nirwana. Die Datenbank ist 8 Mb gross und beinhaltet Weltweit alle IP's bzw. Ranges. Ihr könnt das testen. Wenn der der Server on ist. http://hsoft-pictures.dyndns.org/errors.php.
Es sind derzeit 8 Länder vollständig gesperrt !

PS: Die Box nervt wirklich. Das wirkt echt "ausladend".

[schlumpfi]

hi uwe,

gerne schreibe ich dir eine pn....
leider habe ich kaum zeit und nordin ist anscheinend dauer afk.

zum thema:
sicherheitslücken kann man leider nur bedingt auf anhieb finden. wie du selber weist, gibt es viele möglichkeiten.
lücken die offiziell bekannt sind - und die - die unpublic sind.

ehrlich gesagt ich kenne das script nicht wirklich. werde es mir aber mal ansehen...
ich weis jetzt nicht wie du deine page gebaut hast.
m.e. gibt es 2 wege
1) die zugriffe auf die errors.php loggen, so das du die ips bekommst. zusätzlich eine option einbinden, die die beiden ip-files verbindet ctxtraipliste + errorsipliste, filtert, überflüssige löscht und neu abspeichert.
2) das direkte speichern der ip in die ctxtra-ipliste, doppelte werden ignoriert und nicht geschrieben...

hoffe ich konnte dir, trotz der langen antwortphase, etwas helfen

[Uwe]

Hallo Schlumpfi.

Danke für deine Antwort.
Ja genauso wäre es nicht schlecht.

Zitat:

1) die zugriffe auf die errors.php loggen, so das du die ips bekommst. zusätzlich eine option einbinden, die die beiden ip-files verbindet ctxtraipliste + errorsipliste, filtert, überflüssige löscht und neu abspeichert.
2) das direkte speichern der ip in die ctxtra-ipliste, doppelte werden ignoriert und nicht geschrieben...

Wäre es sehr viel verlangt wenn man da ein paar Codesnippets bekommen könnte ?
Das wäre die Lösung. Weil so fir bin ich PHP nicht das ich mir die nötigen Querys aus dem CT Xtra herausnehmen könnte.

Wäre Spitze ( Daumen hoch ).

Wolltest ja mir ja mal ein kleines Packet machen, sagtest du.

Edit: Hab den CTXtra 1.6 in die erros.php mit include('pfad\ctracker\ctxtra.php'); eingetragen. Sollte schon mal mitlaufen. Mit require_once gehts leider nicht. Da spinnt es.

Gruss Uwe

[schlumpfi]

hi,


sieht schon mal nicht schlecht aus...
wenn du mir deine datei zukommen läst, kann ich sie dir ggf verfeinern


mfg

[Uwe]

Ich hole das Thema nochmal hoch weil ich eine Zeitweilige Lösung gefunden habe.
Selbst c. 2 jahre später sind einige "Bösewichte" immer noch der Meinung dass das Hackerkit bei mir auf dem Server installet ist. Wie ich schon sagte ist in diesem Fall die aufgerufene Datei die errors.php. Diese gestattet dann den Zugriff auf den Server. Eine einfache Lösung ist in dem Fall eine neue Datei zu erstellen mit folgendem Inhalt.

<?php
/*
// Bad IP auslesen und in .htaccess eintragen
// Danach kein Zutritt mehr zum index.
// Unterseiten können noch erreicht werden wenn man die Links kennt.
*/
$ip = $_SERVER['REMOTE_ADDR'];
$filename = '.htaccess';
$content = "deny from $ip/255.255.255.0 ## ".date('d')."-".date('m')."-".date('Y')." # ".date('H')."-".date('i')."-".date('s')." \r\n";
// Sichergehen, dass die Datei existiert und beschreibbar ist
if (is_writable($filename)) {
    // Wir öffnen $filename im "Anhänge" - Modus.
    // Der Dateizeiger befindet sich am Ende der Datei, und
    // dort wird $content später mit fwrite() geschrieben.
    if (!$handle = fopen($filename, "a")) {
//         print "Kann die Datei $filename nicht öffnen";
         exit;
    }
    // Schreibe $content in die geöffnete Datei.
    if (!fwrite($handle, $content )) {
//        print "Kann in die Datei $filename nicht schreiben";
        exit;
    }
//    print "Fertig, in Datei $filename wurde $content geschrieben";
    fclose($handle);
} else {
//    print "Die Datei $filename ist nicht schreibbar";
}
?>

Die Datei nenne ich in diesem Fall errors.php.
Wird diese aufgerufen, wird die IP des Angreifers ausgelesen und in eine bestehende .htaccess eingetragen. Hab dies eine Zeitlang per Hand in die .htaccess reingeschrieben. S.ckgang ! Das passiert jetzt automatisch. Die sperren sich sozusagen selbst hihi.
Den Rest kann sich jeder denken. Jedesmal wenn der Angreifer wiederkommt bekommt der einen Error 404, und Tschüssi. Ich habe noch ein anderes Script im Einsatz bei welchem SQL gestützt über IP Catching "sofort" eine Sperre erfolgt wenn der Angreifer zb. aus dem Asiatischen Raum kommt.

Edit:

@ Schlumpfi.

Wie müsste das aussehen das die IP in Blacklist des CTXtra eingefügt wird ?
Wäre interessant. Dann wäre es ja eine Dauersperre. Dann kommen die nicht mal mehr ins Forum. Wäre wünschenswert. Mal bitte ein Codesnippet zur Veranschaulichung.

Danke.

 

[Hanowack]

Abend
warum machst du nicht einfach ne Weiterleitung auf die Simulation?
also auf /ctracker/index.php?ctxtra_dummy&chr(


mfg
Hanowack

[Uwe]

Sehr gute Idee.
Im Fall der Simulation landet der automatisch auf der Blacklist, wenn ich mich nicht irre.

Könnte das so gehen ?

{
   header("Location: http://meinedresse/ctracker/index.php?ctxtra_dummy&chr(");
}

So oder so ähnlich.
Eben getestet. Weiterleitung erfolgt. Aber der Eintrag in die ct_ips.txt wird nicht gemacht, und somit ist ein Zugang zum Forum weiter möglich. Der Tracker läuft. Getestet mit index.php?ctxtra_dummy. Macht aber keine Einträge in die /ctracker/log/ct_ips.txt.

[schlumpfi]

hi,
eins vorweg, es gibt zich solcher scripte... habe @home mind. 50 varianten verschiedener c99, c100, r57 etc...

naja, wenn du eben das script nicht mehr auf deinem server hast, würde es mich nicht jucken...
das problem liegt eindeutig an den veralteten verweisen auf externen servern.

scripte+bots, die deinen link nutzen zur error.php, greifen mittels datenbank auf deinen server zu.
soll heissen, in einer textdatei oder ähnliches des angreifenden servers sind lauter links zu kompromitierten servern enthalten. diese db werden meistens nicht mehr aktualisiert, so das du immer noch anfragen solcher art bekommst.
egal ob der link on or off ist...

blocken der ip würde ich nicht, da möglicherweise dynamic ip dahinter steht.
oder ein hoster vergibt einem neuen mieter eine ip, die irgendwann mal vor x monaten bei dir geblockt wurde.
er kann dann somit gar nicht auf deine seite, obwohl er nichts dafür kann....


was ich machen würde, mittels htaccess die direkte anfrage zum "damaligen" script blocken.
wie hieß damals der genaue request?

hoffe es war nicht zu verwirrend und ich hatte noch alles richtig im kopf

grüsse