Ascrimez Kit - r57 Shell

[Uwe]

Hi @ All.

Ein frohes neues Jahr wünsche ich euch.

Um was geht es es ? Der Begriff "Ascrimez Kit" bezieht sich auf ein PHP-Skript basiert Hacking-Kit. Es ist eine Sammlung von mehreren Dateien (insgesamt 4 Dateien), einschließlich einer vollständigen Schale, ein Spam-Bot, ein Datei-Explorer und ein Antragsteller, die verwendet werden, um verwundbare Systeme finden kann. Näheres dazu hier: http://web17.webbpro.de/index.php?page=ascrimez-kit

Ich hatte bis vor kurzem Probleme mit diesem Kit. Es war bis vor kurzem auf meinem Server vorhanden. Wie es reingekommen ist weis ich bis heute nicht. Soweit so gut. Habe alle Scripte dieses Kits vom Server gelöscht. Den Server neu aufgesetzt ( Script vorher zum Begutachten gesichert ). Laut den Serverlogs erfolgen immer noch täglich vergebliche Versuche auf die nicht mehr vorhandene errors.php dieses Kits. Bisher habe ich diese IP in der .htaccess ausgesperrt. Die kommen nun immer einen "Acess denied by Serverconfig". Nur macht es auf Dauer keinen Spass die Blacklist immer zu vervollständigen. Wird immer länger. Modscurity für Apache ist schwer zu konfigurieren. Ich möcht den Zugriff auf diese Datei verhindern. Zielstellung soll sein das die IP sofort gesperrt wird. Nun meine Idee. Wenns mit Modsecurity nicht geht würde ich eine "eigene" errors.php erstellen. Wie müsste das Script in der errors.php aussehen das die IP der Gegenseite "sofort" dem CTXtra übergeben wird und diese sofort auf der Blacklist landet. Wäre mal ein interessantes Projekt finde ich. Und man könnte Hacker beinahe sofort aussperren.
Unter der obigen URL gibts dieses Hacking-Kit auch zum Download. Da kann man es sich mal angucken. Ist ganz interessant.

Noch etwas. Wie kann man den CTXtra - Tip ausblenden ? Ganz lustig, aber etwas nervig finde ich. Hab keine Lust den immer nachzurücken .

Gruss Uwe

[Uwe]

Mal hoch schieb...

Hat keiner eine Idee ?

PS: Könnt ihr den CTXtra-Tipp nicht fest einbauen ? Ist irgendwie nervig den immer nach zuschieben.

[Uwe]

Schade.

Früher hat man wenigstens hier ne Antwort erhalten.

Hab das Problem erstmal mittels eines Scriptes gelöst.
Wenn einer der Möchtegernhacker weiterhin die errors.php aufruft geht es über eine IP Abfrage und SQL gestützt sofort ins Nirwana. Die Datenbank ist 8 Mb gross und beinhaltet Weltweit alle IP's bzw. Ranges. Ihr könnt das testen. Wenn der der Server on ist. http://hsoft-pictures.dyndns.org/errors.php.
Es sind derzeit 8 Länder vollständig gesperrt !

PS: Die Box nervt wirklich. Das wirkt echt "ausladend".

[schlumpfi]

hi uwe,

gerne schreibe ich dir eine pn....
leider habe ich kaum zeit und nordin ist anscheinend dauer afk.

zum thema:
sicherheitslücken kann man leider nur bedingt auf anhieb finden. wie du selber weist, gibt es viele möglichkeiten.
lücken die offiziell bekannt sind - und die - die unpublic sind.

ehrlich gesagt ich kenne das script nicht wirklich. werde es mir aber mal ansehen...
ich weis jetzt nicht wie du deine page gebaut hast.
m.e. gibt es 2 wege
1) die zugriffe auf die errors.php loggen, so das du die ips bekommst. zusätzlich eine option einbinden, die die beiden ip-files verbindet ctxtraipliste + errorsipliste, filtert, überflüssige löscht und neu abspeichert.
2) das direkte speichern der ip in die ctxtra-ipliste, doppelte werden ignoriert und nicht geschrieben...

hoffe ich konnte dir, trotz der langen antwortphase, etwas helfen

[Uwe]

Hallo Schlumpfi.

Danke für deine Antwort.
Ja genauso wäre es nicht schlecht.

Zitat:

1) die zugriffe auf die errors.php loggen, so das du die ips bekommst. zusätzlich eine option einbinden, die die beiden ip-files verbindet ctxtraipliste + errorsipliste, filtert, überflüssige löscht und neu abspeichert.
2) das direkte speichern der ip in die ctxtra-ipliste, doppelte werden ignoriert und nicht geschrieben...

Wäre es sehr viel verlangt wenn man da ein paar Codesnippets bekommen könnte ?
Das wäre die Lösung. Weil so fir bin ich PHP nicht das ich mir die nötigen Querys aus dem CT Xtra herausnehmen könnte.

Wäre Spitze ( Daumen hoch ).

Wolltest ja mir ja mal ein kleines Packet machen, sagtest du.

Edit: Hab den CTXtra 1.6 in die erros.php mit include('pfad\ctracker\ctxtra.php'); eingetragen. Sollte schon mal mitlaufen. Mit require_once gehts leider nicht. Da spinnt es.

Gruss Uwe

[schlumpfi]

hi,


sieht schon mal nicht schlecht aus...
wenn du mir deine datei zukommen läst, kann ich sie dir ggf verfeinern


mfg