NucleusCMS; Patchen!

Of crackers on the loose!

Gisteravond zat er een mailtje van Wouter (voor de niet intimie, dat is Mr. Nucleus) in de nucleus mailbox. Dat er een lek was ontdekt in Nucleus. De kans dat je geraakt wordt hierdoor is gelukkig niet zo groot nu bijna alle php installaties met register_globals = off draaien. Het lek is gelukkig alweer gedicht dus mijn advies is Patchen naar de laatste versie.
Maar toch. Ik moest er het mijne van weten en begon mijn logfiles door te spitten. En ja hoor, de eerste scriptkiddies waren al wezen buurten om te constateren dat ze bij mij geen geluk hadden. Op werkelijk elk subdomein of er nou Nucleus draait of niet probeerde ze om binnen te komen.
Ik heb het daar niet zo op. Dat gepook van die kinderen op de vermeende zwakke plekken van mijn server. Dus ik wilde dit meteen wegleiden van mijn domeinen. En dan is het wederom mod_rewrite to the rescue. Even een subdomein aangemaakt waar ik al dit verkeer kon opvangen. Deze waanzinnige crack gebeurd op basis van variabele injectie in GLOBALS. Nou heb ik nergens 'GLOBALS' in mijn url's staan, dus de omleiding was snel geschreven.

RewriteCond %{QUERY_STRING} GLOBALS.*
RewriteRule .* http://<subdomein>.xiffy.nl/ [L]

waarbij je <subdomein> moet vervangen voor het domein waarheen ik deze kinderen omleid.
Wanneer ik deze logfiles bekijk dan blijkt dat dit echte kinderen zijn, geen zombies in een botnet. Stuk voor stuk de nieuwste versie firefox op linux bakken. Da's mooi. Tijd om een automatische abuse mail erachter aan te sturen. Ik ben dit zo zat. En waarschijnlijk doet de provider van die kids niets, maar wie weet dat er toch 1% even zonder internet komt te zitten. Dat zou al voldoening geven

Comments

ik zou zweren dat dit over het schaftlokaal ging als ik niet beter wist

previous item: chicks on speed next item: Dita
thank you for watching  Creative Commons License