[Release]Soniice HP Trojaner etc. loswerden!

[Pаylasici]

Ihr kleinen unreifen Kinder, dort ist kein Virus versteckt. Gibt diese Datei einem Profi, bevor ihr so ein Scheiß schreibt.

[Computerfreek]

Quote:

Originally Posted by Parlatici

Ihr kleinen unreifen Kinder, dort ist kein Virus versteckt. Gibt diese Datei einem Profi, bevor ihr so ein Scheiß schreibt.

Profi? Quatsch.
Jeder einigermaßen technisch versierte sieht dass das nicht direkt ein Virus ist.
Wer sich schon länger mit Shells o.Ä. befasst, dem ist das sowiso klar.
Nur zur Info für die, die ihm das mit dem Trojaner nicht glauben wollen auch nochmal von mir: Die c99-Shell macht nichts anderes, als ihm sozusagen vollzugriff auf eueren Webspace zu geben. Wenn ihr einen eigenen, schlecht konfiguierten VServer habt, dann seit ihr mit Pech den kompletten Server los. Mit eurem privaten PC passiert aber rein garnichts.

@SoNiice:
Warum grade eine c99 und keine c100 od. c102?
Der Code war übrigends wirklich sau schlecht versteckt, das geht um einiges besser.

[Scrawler™]

Quote:

Originally Posted by Parlatici

Ihr kleinen unreifen Kinder, dort ist kein Virus versteckt. Gibt diese Datei einem Profi, bevor ihr so ein Scheiß schreibt.

wenn du der profi sein sollst muss ich lachen!
encode mal den (base64) scheiß in rankings.php und öffne den pfad im browser.
kann dir auch gerne per tv über avast safe zone zeigen.

wenn du schon keine ahnung hast, dann fresse halten.

[Ferhat65]

Quote:

Originally Posted by Parlatici

Ihr kleinen unreifen Kinder, dort ist kein Virus versteckt. Gibt diese Datei einem Profi, bevor ihr so ein Scheiß schreibt.

Opfer?³

Was glaubst du was du bist, warst, und sein wirst in deinem pfandpflaschensammlerleben?

Ich habe dich letztens gesehen am Entensee du hast den enten das bROT geklaut. Schande über dich.

Gib mal Datei ich bin Profi. und Schreib du bitte kein scheiss mehr!

Wenn ich morgen mit Mohammed Achmedinijiad komme wirst du sehen ich gebe dir eine kopfnuss gegen dein bein. Hade lAn

Was machen?

[.Hazel]

Quote:

Originally Posted by Ferhat65

Opfer?³

Was glaubst du was du bist, warst, und sein wirst in deinem pfandpflaschensammlerleben?

Ich habe dich letztens gesehen am Entensee du hast den enten das bROT geklaut. Schande über dich.

Gib mal Datei ich bin Profi. und Schreib du bitte kein scheiss mehr!

Wenn ich morgen mit Mohammed Achmedinijiad komme wirst du sehen ich gebe dir eine kopfnuss gegen dein bein. Hade lAn

Was machen?

Aha!?

Ich habe Dich mal reported, da Dein Post nichts mit dem Thema zu tun hatte - wenn Du was gegen Ihn hast => Private Nachricht

Zum Thema; Am PC kann nichts passieren - aber der Server/V-Server ist gefährdet.

[Ferhat65]

Quote:

Originally Posted by .Hazel

Aha!?

Ich habe Dich mal reported, da Dein Post nichts mit dem Thema zu tun hatte - wenn Du was gegen Ihn hast => Private Nachricht

Zum Thema; Am PC kann nichts passieren - aber der Server/V-Server ist gefährdet.

Jojo danke -.- immer werde ich reported

ich kann auch ncihts dafür das ich Kurde bin...

habt ihr alle was gehen Kurden? seid ihr Kurden feindlich? Kurden haben nunmal mehr als eine Hässlichkeitsschwäche, sie können weder richtig lesen noch schreiben können nicht richtig denken und schreiben nur scheisse und wenn sie sich angegriffen fühlen kommt sowas dabei raus aber ok

dann bin ich halt mal wieder reported wurden schade D':

Finde ich hier auch keine freunde????

[.SkyneT.]

Quote:

Originally Posted by Computerfreek

Profi? Quatsch.
Jeder einigermaßen technisch versierte sieht dass das nicht direkt ein Virus ist.
Wer sich schon länger mit Shells o.Ä. befasst, dem ist das sowiso klar.
Nur zur Info für die, die ihm das mit dem Trojaner nicht glauben wollen auch nochmal von mir: Die c99-Shell macht nichts anderes, als ihm sozusagen vollzugriff auf eueren Webspace zu geben. Wenn ihr einen eigenen, schlecht konfiguierten VServer habt, dann seit ihr mit Pech den kompletten Server los. Mit eurem privaten PC passiert aber rein garnichts.

@SoNiice:
Warum grade eine c99 und keine c100 od. c102?
Der Code war übrigends wirklich sau schlecht versteckt, das geht um einiges besser.

Die C102 ist glaube ich noch nicht so lang pub...
Außerdem tuts die 99er auch
Und er hätte das weitaus besser lösen können,
aber nicht zuviel dazu ....
Die Datei die als Trojaner erkannt wird dürfte nur die Shell
im Cache von eurem Browser sein. (Vermute ich mal)
Also wie schon einmal gesagt eurem PC kann dadurch nichts passieren.

Ich würde empfehlen einfach eine andere HP zu verwenden, vllt
ist hier ja noch mehr an Schadcode versteckt(ich glaubs zwar nicht, aber
das Risiko besteht)

MfG

[Computerfreek]

Quote:

Originally Posted by .SkyneT.

Die C102 ist glaube ich noch nicht so lang pub...
Außerdem tuts die 99er auch
Und er hätte das weitaus besser lösen können,
aber nicht zuviel dazu ....
Die Datei die als Trojaner erkannt wird dürfte nur die Shell
im Cache von eurem Browser sein. (Vermute ich mal)
Also wie schon einmal gesagt eurem PC kann dadurch nichts passieren.

Ich würde empfehlen einfach eine andere HP zu verwenden, vllt
ist hier ja noch mehr an Schadcode versteckt(ich glaubs zwar nicht, aber
das Risiko besteht)

MfG

Man sollte grade wenn man z.B. ein Forum drauf laufen hat sollte man es in Erwägung ziehen den kompletten Space zu löschen und alles neu zu installieren.
Gilt natürlich auch wenn man nur eine HP drauf hat, nur ist das noch übersichtlich genug um alles von Hand zu überprüfen wenn man die Lust darauf hat. Wenn noch weitere Backdoors drin sind werden die sicherlich auch gefunden.
Dass der Code schlecht versteckt ist hab ich ja schon erwähnt und dass man das noch besser Lösen könnte weiß ich auch. Vorschläge wollte und will ich aber keine nennen ;o
Und ja, dass ein Virus erkannt wird wenn ihr auf die Seite geht liegt am Cache. Da es aber eine PHP/TXT-Datei ist und keine Binary kann eueren PC nichts passieren, nichtmal wenn die Datei lokal geparsed werden würde.

€dit:
kk. Der ganze Server scheint tot zu sein. vilt DDoS oder so.

[.SkyneT.]

Quote:

Originally Posted by Computerfreek

@OT:
Wie siehts eig mit ******* aus? Down?

Hier siehst obs down ist oder nicht.

(ich kanns nicht erreichen)


Ja über das Thema Shells, und wie man die verstecken könnte , bzw wie man sie nicht "verstecken" sollte könnte man ewig schreiben ...

Und naja eine .php Zeile kann schon als Backdoor dienen, zb für sqli.
(man müsste halt mal nen Scanner drüber laufen lassen, und die
Lücken fixxen)

So und für mich is es jetzt genug von dem Thema.
Ist ja jetzt eigentlich schon Spam ...

MfG

[.2good4you111]

Quote:

Originally Posted by .SkyneT.

Hier siehst obs down ist oder nicht.

(ich kanns nicht erreichen)


Ja über das Thema Shells, und wie man die verstecken könnte , bzw wie man sie nicht "verstecken" sollte könnte man ewig schreiben ...

Und naja eine .php Zeile kann schon als Backdoor dienen, zb für sqli.
(man müsste halt mal nen Scanner drüber laufen lassen, und die
Lücken fixxen)

So und für mich is es jetzt genug von dem Thema.
Ist ja jetzt eigentlich schon Spam ...

MfG

Genau, acunetix ist da recht gut...
Wobei bei einem Input meistens gleich 100x XSS, und 50 SQLi gefunden wird.
Unterstützt aber glaub ich kein HTTP Header Injection (denke ich mal)
Wär ja auch mal was neues in der m2 scene den header zu includen :O

[yym3]

Quote:

Originally Posted by Ferhat65

Jojo danke -.- immer werde ich reported

ich kann auch ncihts dafür das ich Kurde bin...

habt ihr alle was gehen Kurden? seid ihr Kurden feindlich? Kurden haben nunmal mehr als eine Hässlichkeitsschwäche, sie können weder richtig lesen noch schreiben können nicht richtig denken und schreiben nur scheisse und wenn sie sich angegriffen fühlen kommt sowas dabei raus aber ok

dann bin ich halt mal wieder reported wurden schade D':

Finde ich hier auch keine freunde????

Also das du jetzt damit kommst das du Kurde bist, Aufmerksamkeit suchst ist ja mal unter aller sau. Werd mal Reifer.

@b2t or lets say discussion:
Hey, ist doch egal ob virus oder nicht, er versucht auch nur weiterzuhelfen. Das ist eins der wenigen sachen die man heute noch in der Metin2 Section erleben kann.

Zu dem das noch andere Lücken sein könnten, das stimmt, man sollte auf Nummer sicher gehen und alles durchchecken.


Lieben Gruß
yym3.

[Scrawler™]

Quote:

Originally Posted by yym3

Also das du jetzt damit kommst das du Kurde bist, Aufmerksamkeit suchst ist ja mal unter aller sau. Werd mal Reifer.

@b2t or lets say discussion:
Hey, ist doch egal ob virus oder nicht, er versucht auch nur weiterzuhelfen. Das ist eins der wenigen sachen die man heute noch in der Metin2 Section erleben kann.

Zu dem das noch andere Lücken sein könnten, das stimmt, man sollte auf Nummer sicher gehen und alles durchchecken.


Lieben Gruß
yym3.

sogut wie jeder weiß es, ich bin nicht grad der beste in php bzw. ich habe 0 drauf in php.
da war halt ein teil wo was über den temp ordner stand, nicht nur sondern auch noch %windir:

Quote:

$curdir = "./"; //start folder
//$curdir = getenv("DOCUMENT_ROOT");
$tmpdir = ""; //Folder for tempory files. If empty, auto-fill (/tmp or %WINDIR/temp)
$tmpdir_log = "./"; //Directory logs of long processes (e.g. brute, scan...)

$log_email = ""; //Default e-mail for sending logs

ich suche schon nach anderen lücken, bis jetzt halt bur das aber den entfernt man ja auch leicht^^

[lautlosertot]

kann nicht einer oder zusammenabeit die hp mit alles fixxen hab auch bugs gefixxt aber hat die "hacker sachen" nicht gesehn^^

[°IceCold°]

Danke für das Tutorial, Scrawler.

OT:
Zitat bezüglich *******:

Quote:

******* ist gerade offline.
Grund: Abuse, WBB hat sich wegen Shousa's WBB Downloader gewaehrt !
Wir werden in kuerze wieder erreichbar sein !

[yym3]

Naja wer den Verschlüsselten Code rauslöschen möchte, ich hab den bis jetzt nur in 2 Dateien gesehen.

rankings.php
passwort.php


@Scrawler:
Um ehrlich zu sein, mich interessiert es nicht ob du php kannst oder nicht, du versuchst irgendwie der Section weiterzuhelfen und nicht sie Abzuziehen.


Lieben Gruß
yym3.