Tema: ¿Intento de Hackeo?
21aToPe
avatar
Forero
Forero
Mensajes: 166

Enviado:
14.oct 2006 - 17:07

Acabo de recibir un aviso de pnAntiCracker. Hay muchos avisos falsos anteriores, pero éste si que me mosquea mucho. Por lo pronto he baneado la IP 201.6.117.205

Voy a seguir investigando. Aquí os pongo el texto del correo:

Cita=====================================
Information about this user:
=====================================
This person is not logged in.
IP numbers: [note: when you are dealing with a
real cracker these IP numbers might not be from
the actual computer he is working on]
IP according to HTTP_CLIENT_IP:
IP according to REMOTE_ADDR: 201.6.117.205
IP according to
GetHostByName($_SERVER['REMOTE_ADDR']):
201.6.117.205


=====================================
Browser information
=====================================
HTTP_USER_AGENT: User-Agent: Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)
BROWSER * 0 :

=====================================
Information in the $_GET array
This is about variables that may have been in the
URL string or in a 'GET' type form.
=====================================

=====================================
Information in the $_POST array
This is about visible and invisible form elements.
=====================================
POST * uname : fe8erfe
POST * pass : <a href=\"
http://www.megspace.com/family/onlines/buy-tramadol.html
\">buy tramadol
<a href=\"
http://www.megspace.com/family/onlines/buy-phentermine.html
\">buy phentermine
<a href=\"
http://www.megspace.com/family/onlines/phentermine-prescription.html
\">phentermine prescription
<a href=\"
http://www.megspace.com/family/onlines/phentermine-online.html
\">phentermine online
<a href=\"
http://www.megspace.com/family/onlines/buy-soma.html
\">buy soma
<a href=\"
http://www.megspace.com/family/onlines/buy-phentermine-online.html
\">buy phentermine online
<a href=\"
http://www.megspace.com/family/onlines/order-phentermine.html
\">order phentermine
<a href=\"
http://www.megspace.com/family/onlines/cheap-phentermine.html
\">cheap phentermine
<a href=\"
http://www.megspace.com/family/onlines/phentermine-adipex.html
\">phentermine adipex
<a href=\"
http://www.megspace.com/family/onlines/phentermine-diet-pill.html
\">phentermine diet pill
<a href=\"
http://www.megspace.com/family/onlines/order-cialis.html
\">order cialis
<a href=\"
http://www.megspace.com/family/onlines/cheap-tramadol.html
\">cheap tramadol
<a href=\"
http://www.megspace.com/family/onlines/tramadol-online.html
\">tramadol online
<a href=\"
http://www.megspace.com/family/onlines/buy-cialis.html
\">buy cialis
<a href=\"
http://www.megspace.com/family/onlines/order-viagra-online.html
\">order viagra online
<a href=\"
http://www.megspace.com/family/onlines/viagra-online.html
\">viagra online
<a href=\"
http://www.megspace.com/family/onlines/generic-cialis.html
\">generic cialis
<a href=\"
http://www.megspace.com/family/onlines/buy-viagra.html
\">buy viagra
<a href=\"
http://www.megspace.com/family/onlines/order-viagra.html
\">order viagra
<a href=\"
http://www.megspace.com/family/onlines/discount-viagra.html
\">discount viagra
<a href=\"
http://www.megspace.com/family/onlines/generic-viagra.html
\">generic viagra
<a href=\"
http://www.megspace.com/family/onlines/cialis-generic.html
\">cialis generic
<a href=\"
http://www.megspace.com/family/onlines/buy-tramadol-online.html
\">buy tramadol online
<a href=\"
http://www.megspace.com/family/onlines/order-tramadol.html
\">order tramadol
<a href=\"
http://www.megspace.com/family/onlines/buy-viagra-online.html
\">buy viagra online
<a href=\"
http://www.megspace.com/family/onlines/cheap-viagra.html
\">cheap viagra
<a href=\"
http://www.megspace.com/family/onlines/buy-xenical.html
\">buy xenical
<a href=\"
http://www.megspace.com/family/onlines/online-tramadol.html
\">online tramadol
<a href=\"
http://www.megspace.com/family/onlines/buy-meridia.html
\">buy meridia
<a href=\"
http://www.megspace.com/family/onlines/online-cialis.html
\">online cialis
<a href=\"
http://www.megspace.com/family/onlines/buy-xanax.html
\">buy xanax
<a href=\"
http://www.megspace.com/family/onlines/buy-valium.html
\">buy valium
<a href=\"
http://www.megspace.com/family/onlines/xanax-online.html
\">xanax online
<a href=\"
http://www.megspace.com/family/onlines/viagra-alternative.html
\">viagra alternative
<a href=\"
http://www.megspace.com/family/onlines/xanax-valium.html
\">xanax valium
<a href=\"
http://www.megspace.com/family/onlines/buy-hydrocodone.html
\">buy hydrocodone
<a href=\"
http://www.megspace.com/family/onlines/buy-vicodin.html
\">buy vicodin
POST * rememberme : 1
POST * module : NS-User
POST * op : login
POST * url :
http://www.megspace.com/family/onlines/buy-phentermine.html

=====================================
Information in the $_COOKIE array
=====================================

=====================================
Information in the $_FILES array
=====================================

=====================================
Information in the $_SESSION array
This is session info. The variables
starting with PNSV are PostNukeSessionVariables.
=====================================
SESSION * PNSVrand : 1602780893
SESSION * PNSVlang : spa
21aToPe
avatar
Forero
Forero
Mensajes: 166

Enviado:
14.oct 2006 - 17:17

Sigue intentándolo el pájaro, ahora con las IP's siguientes:

74.6.73.87
74.6.71.155
74.6.68.75
74.6.71.159
74.6.69.45

Será mamón ahora con una dirección distinta...

Cita=====================================
Information about this user:
=====================================
This person is not logged in.
IP numbers: [note: when you are dealing with a
real cracker these IP numbers might not be from
the actual computer he is working on]
IP according to HTTP_CLIENT_IP:
IP according to REMOTE_ADDR: 70.86.115.106
IP according to
GetHostByName($_SERVER['REMOTE_ADDR']):
70.86.115.106


=====================================
Browser information
=====================================
HTTP_USER_AGENT: User-Agent: Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)
BROWSER * 0 :

=====================================
Information in the $_GET array
This is about variables that may have been in the
URL string or in a 'GET' type form.
=====================================

=====================================
Information in the $_POST array
This is about visible and invisible form elements.
=====================================
POST * uname : jelr34jee
POST * pass : <a href=\"
http://online4.kilu.de/buy-tramadol.html \">buy
tramadol
<a href=\"
http://online4.kilu.de/buy-phentermine.html \">buy
phentermine
<a href=\"
http://online4.kilu.de/phentermine-prescription.html
\">phentermine prescription
<a href=\"
http://online4.kilu.de/phentermine-online.html
\">phentermine online
<a href=\" http://online4.kilu.de/buy-soma.html
\">buy soma
<a href=\"
http://online4.kilu.de/buy-phentermine-online.html
\">buy phentermine online
<a href=\"
http://online4.kilu.de/order-phentermine.html
\">order phentermine
<a href=\"
http://online4.kilu.de/cheap-phentermine.html
\">cheap phentermine
<a href=\"
http://online4.kilu.de/phentermine-adipex.html
\">phentermine adipex
<a href=\"
http://online4.kilu.de/phentermine-diet-pill.html
\">phentermine diet pill
<a href=\"
http://online4.kilu.de/order-cialis.html \">order
cialis
<a href=\"
http://online4.kilu.de/cheap-tramadol.html
\">cheap tramadol
<a href=\"
http://online4.kilu.de/tramadol-online.html
\">tramadol online
<a href=\" http://online4.kilu.de/buy-cialis.html
\">buy cialis
<a href=\"
http://online4.kilu.de/order-viagra-online.html
\">order viagra online
<a href=\"
http://online4.kilu.de/viagra-online.html
\">viagra online
<a href=\"
http://online4.kilu.de/generic-cialis.html
\">generic cialis
<a href=\" http://online4.kilu.de/buy-viagra.html
\">buy viagra
<a href=\"
http://online4.kilu.de/order-viagra.html \">order
viagra
<a href=\"
http://online4.kilu.de/discount-viagra.html
\">discount viagra
<a href=\"
http://online4.kilu.de/generic-viagra.html
\">generic viagra
<a href=\"
http://online4.kilu.de/cialis-generic.html
\">cialis generic
<a href=\"
http://online4.kilu.de/buy-tramadol-online.html
\">buy tramadol online
<a href=\"
http://online4.kilu.de/order-tramadol.html
\">order tramadol
<a href=\"
http://online4.kilu.de/buy-viagra-online.html
\">buy viagra online
<a href=\"
http://online4.kilu.de/cheap-viagra.html \">cheap
viagra
<a href=\" http://online4.kilu.de/buy-xenical.html
\">buy xenical
<a href=\"
http://online4.kilu.de/online-tramadol.html
\">online tramadol
<a href=\" http://online4.kilu.de/buy-meridia.html
\">buy meridia
<a href=\"
http://online4.kilu.de/online-cialis.html
\">online cialis
<a href=\" http://online4.kilu.de/buy-xanax.html
\">buy xanax
<a href=\" http://online4.kilu.de/buy-valium.html
\">buy valium
<a href=\"
http://online4.kilu.de/xanax-online.html \">xanax
online
<a href=\"
http://online4.kilu.de/viagra-alternative.html
\">viagra alternative
<a href=\"
http://online4.kilu.de/xanax-valium.html \">xanax
valium
<a href=\"
http://online4.kilu.de/buy-hydrocodone.html \">buy
hydrocodone
<a href=\" http://online4.kilu.de/buy-vicodin.html
\">buy vicodin
POST * rememberme : 1
POST * module : NS-User
POST * op : login
POST * url : http://online4.kilu.de/buy-soma.html

=====================================
Information in the $_COOKIE array
=====================================

=====================================
Information in the $_FILES array
=====================================

=====================================
Information in the $_SESSION array
This is session info. The variables
starting with PNSV are PostNukeSessionVariables.
=====================================
SESSION * PNSVrand : 685560790
SESSION * PNSVlang : spa


¿Alguna idea? ¿Se pueden Banear rangos de IP's desde pnAntiCracker? ¿O tendré que hacerlo desde el Cpanel del Servidor? Salu2
AnyKiller
avatar
Moderador
Moderador
Mensajes: 5145

Enviado:
14.oct 2006 - 19:57

Lo mejor sería actualziar a la 0763, pese a que no te funcione luego el foro PnphpBB




No atiendo mensajes privados para dudas
21aToPe
avatar
Forero
Forero
Mensajes: 166

Enviado:
14.oct 2006 - 20:37

AnyKillerLo mejor sería actualziar a la 0763, pese a que no te funcione luego el foro PnphpBB


biggrin confused rolleyes

¿Quien ha dicho algo de PnphpBB en este hilo? Si yo uso de siempre pnForum.

AnyKiller ¿Has leido el hilo? confused

A ver, ¿hay algún doctor para Anykiller? wink

Anda, pasa tu respuesta aquí, que es donde debe estar:

pn0763 con Foros PnphpBB

laugh Un saludo, asesino wink


gerkynet
avatar
Posteador de Oro
Posteador de Oro
Mensajes: 1490

Enviado:
14.oct 2006 - 22:53

Dudo mucho que banneando un rango de IPs soluciones algo,
por lo que parece es un bot que intenta postear como usuario, pero por lo que parece también está mal hecho (está enviando el posteo como contraseña)

y como ves está cambiando de IPs, así que puede ser dificir el bloquearlo por ese camino,
lo mejor es que no dejes postear ni comentar a anónimos y pongas el Captcha para el registro de usuarios, así no te tendrás que preocupar más que de borrar los mensajes del correo.

Y como dice Anykiller, actualizar a la última versión (aunque la .762 es suficientemente segura, los fallos corregidos, salvo uno leve, no son de seguridad)


Hispa-PN.net - Desarrollos PostNuke
21aToPe
avatar
Forero
Forero
Mensajes: 166

Enviado:
14.oct 2006 - 23:25

gerkynetDudo mucho que banneando un rango de IPs soluciones algo,
por lo que parece es un bot que intenta postear como usuario, pero por lo que parece también está mal hecho (está enviando el posteo como contraseña)

y como ves está cambiando de IPs, así que puede ser dificir el bloquearlo por ese camino,
lo mejor es que no dejes postear ni comentar a anónimos y pongas el Captcha para el registro de usuarios, así no te tendrás que preocupar más que de borrar los mensajes del correo.

Y como dice Anykiller, actualizar a la última versión (aunque la .762 es suficientemente segura, los fallos corregidos, salvo uno leve, no son de seguridad)


No está consiguiendo nada, pero lo intenta.
Lo único es el mensaje que me envía a mi correo del intento.
Sobre la 0.763, ya estoy en ello, pero primero quise hacer las pruebas en otro lugar, y visto que todo va bien, estoy actualizándolo en mi web principal.
Sobre el Captcha ya lo intenté instalar en mi otra web y me daba error de lectura de la imágen así que ni lo intenté en la principal. Lo probaré de nuevo aquí. Gracias gerkynet.
AnyKiller
avatar
Moderador
Moderador
Mensajes: 5145

Enviado:
15.oct 2006 - 01:09

21aToPe

biggrin confused rolleyes

¿Quien ha dicho algo de PnphpBB en este hilo? Si yo uso de siempre pnForum.

AnyKiller ¿Has leido el hilo? confused

A ver, ¿hay algún doctor para Anykiller? wink

Anda, pasa tu respuesta aquí, que es donde debe estar:

pn0763 con Foros PnphpBB

laugh Un saludo, asesino wink


Se me ha ido la perola laugh laugh laugh

Que alguien llame al doctor House :-P




No atiendo mensajes privados para dudas