1
Bazus
someone hacked my sites.. help needed
  • 2004/1/13 6:40

  • Bazus

  • Not too shy to talk

  • Posts: 144

  • Since: 2002/9/23


I have around 10 sites with a share ip address and all my sites have been hit by a hacker.. anyone have seen this group?

http://www.abctyping.com/images/iradexa.jpg

I'll be cheking too this portuquese XOOPS site: http://www.xoops.net.br.

This is what appears in all 10 sites I have :

http:http://mrch.abctyping.com/modules/newbb/

all modules, sessions and index.php/index.html where reeplaced by that page above.

this is quite annoying.. I have uploaded a copy of non-infected index.php/index.html in the news module but I still get redirected to install page when going to the site: http://www.abctyping.com

like a portuguess hacker for the content of the page: I'll quote it here:

Quote:
Vem vamos embora que esperar não é saber, quem faz sabe a hora não espera acontecer Brasil anos 60, eles diziam: Bola pra frente, não desista não, não mas mataram estudantes proibiram acesso as estantes, nas ruas tanques, ignorantes, a cabeça do povo muchou, bomba de efeito retardado, petardo, pesado só agora estorou e quem lucrou? Eu não, vou caminhando cantando e seguindo a canção. De Domingão a Domingão segue a aculturação processo de alienação através da televisão, e aí Faustão quem sabe faz ao vivo, motivo, pra eu da um role na area junto com a rapaziada eu não vou perder o Domingo vendo video cassetada, eu to com a mídia na mira, realidade me inspira sou defacer do interior nem por isso inferior, não tenho trava na fala Aliado Smurf nunca se cala. Conheço um cara, seu sobrenome é massa, foi eleito deputado e não lutou pelas massas, votou a favor do Collor, traidor da nação, agora na televisão qué dar uma de santinho não vou dizer seu nome ele é patrão do xaropinho, rotulado como defensor do pobre, na verdade o que interessa são os pontos no IBOPE, Cascalho, caralho, faz o povo de otário, não me engana eu não sou bobo sou defacer da rede povo, não queremos sua pena disso a gente não precisa, brasileiro não tem preguiça, quer oportunidade, através do trabalho alcançar a quantidade de vida que negada pra nós periferia esquecida. Desacredita então pague pra ver, enquanto você assiste a televisão vou caminhando, cantando e seguindo a canção. E a Hebe que Gracinha, já passou do 60tinha com espirito de mocinha, a mim você não ilude apoia o paulo maluf, que faz cingapura e fatura, faz Pita que não apita nada, permite a máfia dos fiscais o povo não aguenta mais esse papo: (rouba mas faz). Nem a pau nem fudendo eu bebo suave veneno, agora note e anote que a TV é um leão livre sempre pronto pro bote. Não to andando nas nuvens, tenho os meus pés no chão, na minha opinião, Fantastico é ver a luta do MST sol-a-sol dia-a-dia em pro da cidadania é o lado bom que ele não mostra, agora tem outra novela com o nome de celebridade. Mais uma imbecibilidade. Dr Roberto Marinho tem a receita, perfeita, um analgésico fatal, audio visual, Vejo uma dose diária de Jornal Nacional a impressão que se tem é que o mundo inteiro vai mal, mas o Brasil ta normal, sob controle, remoto, nas mãos do FMI, gente que nunca veio aqui, pra saber o que é sofrer, nem imagina o que é isso, mas é razão e motivo deu ver, criança abandonada querendo sobreviver, de pé no chão garimpando no lixão, que é pra não morrer de fome, quando acha um danone, olha pro céu Azul agradece a Deus disputa com o Urubu o estoque vencido que veio do Carrefour. Enquanto você assiste a televisão vou caminhando, cantando e seguindo a canção Dona Maria lava roupa, pilota vassoura, recupera a energias assistindo a usurpadora, já criou suas crianças, as 5:00 da manhã ela abra as portas da esperança, do barraco de aluguel sua vida não é doce é amarga como fel, ficou doente faltou grana, pra pagar mensalidade, do carne da mercadoria do baú da felicidade, cada vez mais doente já fez promessa pro seu santo, o prejuízo Dela é o lucro do Silvo Santos. Isso é que eu chamo de golpe do baú, vai tomar no...Gugu tem Domingo legal, um programinha banal, só ta faltando aparecer cena de sexo anal, meninas de 5 anos, ralando a checa, normal, da audiência aquela porra toda, o povão tá gostando então se foda. Mas chega a Segunda feira e você cai na real, mete a mão no bolso vê que não tem um real, procura emprego e não acha, alguns se entregam a cachaça, outros não, a maioria se acomoda e não se incomoda com a situação, escravo da televisão, é deste jeito que eles querem o povo na marezia e segue a dominação da minoria sobre a maioria, o mundo gira e gira no mundo só agente leva buxa, mas logo é dia de assistir a XUXA. Eleições vem ai, você decide e vale a pena ver de novo outro Fernando ou Ciro Gomes fabricando pela globo. Enquanto você assiste a televisão vou caminhando, cantando e seguindo a canção Com seus rostos maquiados sorrizos forçados, eles são os serviçais do poder, fazem um jogo sujo e esbanjam você, qual o significado? Sacha em seu quarto de 130 m², Égua camargo perguntar em seu programa, porque todo pobre tem o calcanhar rachado, vai a resposta. Por outro lado o que importa é o cascalho 1 milhão de reais por mês de salário. O que você recebe por ano eles faturam por hora, eles são os ricos que o meu povo adora.


any help and suggestions on how to fix it is appreciated: all the index.php in all modules and sessions of XOOPS were reeplaced by this page:

http:http://mrch.abctyping.com/modules/newbb/

it has been around 20 minutes since this occurred..

2
Bazus
Re: someone hacked my sites.. help needed
  • 2004/1/13 7:46

  • Bazus

  • Not too shy to talk

  • Posts: 144

  • Since: 2002/9/23


the strangest thing is that this was done all across all my sites wich share same ip address (around 10 sites) a couple of them: http://naccion.org and http://classygear.com



again, any help will be appreciated and anyone with info on this hackers is welcome

3
Herko
Re: someone hacked my sites.. help needed
  • 2004/1/13 8:21

  • Herko

  • XOOPS is my life!

  • Posts: 4238

  • Since: 2002/2/4 1


Since they all share a single IP address, and they are probably on the same server, the hackers must have gooten access to your server, perhaps by brute force attack, and gained access to all the sites running on that machine. It can't be that they hacked XOOPS, because XOOPS doesn't give you the option to change index.php files.

If I were you, I'd change your passwords for your server asap!

Herko

4
Bazus
Re: someone hacked my sites.. help needed
  • 2004/1/13 9:37

  • Bazus

  • Not too shy to talk

  • Posts: 144

  • Since: 2002/9/23


i'm checking with the adimin of my webhosting to see if probably his firewall let this hacker get though and do this damage.

if the share ip address was affected i'm waiting to see if others who share same ip where hacked too.

this looks more like a virus that got through the webhoster firewall, because for instance all the index.html and index.php files where replaced by this page:

http://www.naccion.org/hacked/index.html (size 6kb)

i'm replacing them for the originals but in some places this doesn't fix the problem..

like
root_xoops/modules/index.html
root_xoops/modules/news/index.php
root_xoops/modules/news/templates/index.html
root_xoops/modules/news/templates/blocks/index.html

etc in all directories and subdirectories with index.html or index.php ..... all where replaced by the above page with size 6kb

5
Bassman
Re: someone hacked my sites.. help needed
  • 2004/1/13 11:09

  • Bassman

  • Friend of XOOPS

  • Posts: 1272

  • Since: 2003/5/23


I believe http://www.abctyping.com is or was a Xoops-powered site, but the person who built it was a genuine person, not a hacker, from what I remember. Perhaps their site was hacked too, and used as a base for this group's hacking?

*edit*

Forgive my stupidity bazus, abctyping.com is one of your sites, isn't it? At least I remembered you're a good guy :o)

6
kahumbu
Re: someone hacked my sites.. help needed
  • 2004/1/13 11:19

  • kahumbu

  • Documentation Writer

  • Posts: 277

  • Since: 2003/8/23


This type of hacking is called defacement. It is probably still related to the worldwide hacking/defacement contest going on. Target for each group is 6,000 sites.

I was recently hacked/defaced, but after discovering that only index.php files were affected, I just re-uploaded index files from my local computer. Do not 'transfer' files from the same server. Their scripts look for all index named files and convert it to the defaced page, thus, defacement is often server wide.

Allegedly, they used a security flaw in apache and/or linux. Others say the entry point is Post-Nuke and myPHPNuke. I really don't know.

7
Bazus
Re: someone hacked my sites.. help needed
  • 2004/1/13 11:20

  • Bazus

  • Not too shy to talk

  • Posts: 144

  • Since: 2002/9/23


yeap i'm a good guy as far as I know

and abctyping.com is one of 3 XOOPS 2.0.5.1 sites I have, the other 7 sites that were affected too are not XOOPS based, but all index.html and index.php where replaced too.

so far I have cleaned one XOOPS site: http://naccion.org .. I had to replaced every single index.php/index.html in directories and subdirectories that had it. I noticed thou that subdirectories which didn't have either file where not affected.. that is an indication that such hacke/virus didn't replicate a copy into those folders.

I was thinking to complete eliminate those files which the purpose basically it's to make them browsable though http but are not necesary in case one decide to delete them.


8
Bassman
Re: someone hacked my sites.. help needed
  • 2004/1/13 11:22

  • Bassman

  • Friend of XOOPS

  • Posts: 1272

  • Since: 2003/5/23


These guys have been busy.......
have a look here.......

9
Bazus
Re: someone hacked my sites.. help needed
  • 2004/1/13 11:32

  • Bazus

  • Not too shy to talk

  • Posts: 144

  • Since: 2002/9/23


wao that's like 750 domains in less tha 6 hours.. that's counting only the ones listed there ..imagine how many with the ones not reported in that site: http://www.zone-h.com/en/defacements/filter/filter_defacer=Ir4dex/

all from today Tuesday January 13

10
Bassman
Re: someone hacked my sites.. help needed
  • 2004/1/13 11:41

  • Bassman

  • Friend of XOOPS

  • Posts: 1272

  • Since: 2003/5/23


yeah, they are busy little bees. A shame they can't put all that energy to good use.......

Login

Who's Online

376 user(s) are online (269 user(s) are browsing Support Forums)


Members: 0


Guests: 376


more...

Donat-O-Meter

Stats
Goal: $100.00
Due Date: Nov 30
Gross Amount: $0.00
Net Balance: $0.00
Left to go: $100.00
Make donations with PayPal!

Latest GitHub Commits