dd24 offenbar gehackt !

[spiz]

Offenbar wurde DD24 gehakt ! Auf bei DD24 gehosteten Seiten erscheint aktuell... "Hacked By..."
Domains die nur auf Parking weiterleiten scheinen nicht betroffen zu sein.

MfG
Christoph

 

[mongostyle]

Hast du ne Beispiels URL?

 

[Cannabis-Domains.de]

http://www.domainz.at/

 

[osnoogie]

Jau, stimmt wohl. Meine www.zitronengras.net ist auch betroffen...

Ciao,
Noogie

 

[123meins]

Hmm. wird da ne Sicherheitslücke im IE genutzt für Trojaner?

Quelltext:


"<P></P>
<OBJECT id=MediaPlayer type=application/x-oleobject height=1
standby="Loading Windows Media Player components..." width="1%"
classid=CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95><PARAM NAME="FileName" VALUE="http://orjinaldeli.by.ru/anadolu.mp3"><PARAM NAME="AudioStream" VALUE="1"><PARAM NAME="AutoSize" VALUE="0"><PARAM NAME="AutoStart" VALUE="1"><PARAM NAME="AnimationAtStart" VALUE="0"><PARAM NAME="AllowScan" VALUE="-1"><PARAM NAME="AllowChangeDisplaySize" VALUE="-1"><PARAM NAME="AutoRewind" VALUE="0"><PARAM NAME="Balance" VALUE="0"><PARAM NAME="BaseURL" VALUE=""><PARAM NAME="BufferingTime" VALUE="5"><PARAM NAME="CaptioningID" VALUE=""><PARAM NAME="ClickToPlay" VALUE="-1"><PARAM NAME="CursorType" VALUE="0"><PARAM NAME="CurrentPosition" VALUE="-1"><PARAM NAME="CurrentMarker" VALUE="0"><PARAM NAME="DefaultFrame" VALUE=""><PARAM NAME="DisplayBackColor" VALUE="0"><PARAM NAME="DisplayForeColor" VALUE="16777215"><PARAM NAME="DisplayMode" VALUE="1"><PARAM NAME="DisplaySize" VALUE="1"><PARAM NAME="Enabled" VALUE="-1"><PARAM NAME="EnableContextMenu" VALUE="-1"><PARAM NAME="EnablePositionControls" VALUE="-1"><PARAM NAME="EnableFullScreenControls" VALUE="-1"><PARAM NAME="EnableTracker" VALUE="-1"><PARAM NAME="InvokeURLs" VALUE="-1"><PARAM NAME="Language" VALUE="-1"><PARAM NAME="Mute" VALUE="0"><PARAM NAME="PlayCount" VALUE="0"><PARAM NAME="PreviewMode" VALUE="0"><PARAM NAME="Rate" VALUE="1"><PARAM NAME="SAMILang" VALUE=""><PARAM NAME="SAMIStyle" VALUE=""><PARAM NAME="SAMIFileName" VALUE=""><PARAM NAME="SelectionStart" VALUE="-1"><PARAM NAME="SelectionEnd" VALUE="-1"><PARAM NAME="SendOpenStateChangeEvents" VALUE="-1"><PARAM NAME="SendWarningEvents" VALUE="-1"><PARAM NAME="SendErrorEvents" VALUE="-1"><PARAM NAME="SendKeyboardEvents" VALUE="0"><PARAM NAME="SendMouseClickEvents" VALUE="0"><PARAM NAME="SendMouseMoveEvents" VALUE="0"><PARAM NAME="SendPlayStateChangeEvents" VALUE="-1"><PARAM NAME="ShowCaptioning" VALUE="0"><PARAM NAME="ShowControls" VALUE="-1"><PARAM NAME="ShowAudioControls" VALUE="-1"><PARAM NAME="ShowDisplay" VALUE="0"><PARAM NAME="ShowGotoBar" VALUE="0"><PARAM NAME="ShowPositionControls" VALUE="0"><PARAM NAME="ShowStatusBar" VALUE="-1"><PARAM NAME="ShowTracker" VALUE="-1"><PARAM NAME="TransparentAtStart" VALUE="0"><PARAM NAME="VideoBorderWidth" VALUE="0"><PARAM NAME="VideoBorderColor" VALUE="333333"><PARAM NAME="VideoBorder3D" VALUE="-1"><PARAM NAME="Volume" VALUE="-1"><PARAM NAME="WindowlessVideo" VALUE="-1">

<embed type="application/x-mplayer1"
src="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=5,1,52,701"
width=1height=1> </embed></OBJECT></BODY></HTML><!-- BY.RU Auto Advertising Script -->
<script language="JavaScript" src="/-/adover/adover.js"></script>"

 

[Vidocq]

Vor Kurzem hatte ich bei concept 69 ähnliches, da wurde mir einfach in den Quellcode meiner Seite nen Iframe eingebaut. (da waren auch mehrere Seiten von betroffen)
Beim Besuch der Seite sprang dann gleich Antivirus an, es war irgendein Wurm oder so.

Angeblich sind die Hacker über eine Sicherheitslücke im phpbb reingekommen?

 

[der-Heiko]

IE genutzt für Trojaner

Nein, da handelt es sich um eine SQL-Injektion.
Die haben den IP-Bereich nach Forensoftware, die nicht gepatcht war abgescannt und sind da über die sessions.php von z.B. Woltlab Burning Board in die Datenbank eingedrungen.

Es befindet sich dann auf dem Server ein IRC Bot mit eingeschränkten Rechten (Webserver).

Hier noch deren Pressemitteilung:
Berlin, den 16. Januar 2007, 17:00 Uhr
Sicherheitsupdate für Burning Board 2 und Burning Board Lite erschienen Uns wurde heute ein mögliches Sicherheitsloch in allen Burning Board 2 und Burning Board Lite Versionen gemeldet. Wir haben als Reaktion darauf, im Mitgliederbereich für die Versionen 2.0.3, 2.1.6, 2.2.2 und 2.3.6 entsprechende Updates zur Verfügung gestellt. Der Download der korrigierten Burning Board Lite Version ist unter Produkte -> Burning Board Lite zu finden. Burning Board 3.0 ist vom diesem Problem nicht betroffen.

Aus Sicherheitsgründen ist die Durchführung des Updates dringend zu empfehlen.

Auch andere Forensysteme mit SessionID`s sind betroffen, daher ruhig mal nach Patches gugen

Grüssle Heiko

@ Vidocq

Quellcode meiner Seite nen Iframe eingebaut.

Sowas nennt man CSS (Cross Site Scripting). der Angreifer hat in z.B.:
in einem Formularfeld ein Javascript eingebunden und die Webseite ist so programmiert, dass die Daten auch ausgegeben werden können...

 

[osnoogie]

Die haben den IP-Bereich nach Forensoftware, die nicht gepatcht war abgescannt und sind da über die sessions.php von z.B. Woltlab Burning Board in die Datenbank eingedrungen.

Hi,

ist aber schon traurig für dd24 dass darüber auch der Webspace aller Kundenseiten erreichbar war. Auf meiner Domain lag genau 1 statische html-Seite. Keine Datenbank, kein php...

Ciao,
Noogie

 

[123meins]

Nein, da handelt es sich um eine SQL-Injektion.

Es ging mir eher um den Quelltext der jetzt auf der Seite steht.

Grüsse

123meins