php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > IT-Security Forum > IT-Security
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


IT-Security Alles rund um IT-Security aus den Bereichen Hard- und Software

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 15-03-2010, 09:00
alex2iceman
 Registrierter Benutzer
Links : Onlinestatus : alex2iceman ist offline
Registriert seit: May 2007
Beiträge: 120
alex2iceman ist zur Zeit noch ein unbeschriebenes Blatt
Standard FTP-Sicherheitslücke...?

Hallo Forum!

Am Wochenende wurde eine meiner Webseiten gehackt. Wenn man die Seite öffnete, wurde mittels JS ein Trojaner ins System installiert, wenn das eigene Antivirusprogramm geschlafen hat.
Im Prinzip wurde auf dem Server jede index.php oder index.html geöffnet und ein cryptisches Javascript eingefügt. In PHP-Dateien befand sich dieses ganz oben, in HTML-Dateien immer vor dem </body>-Tag. Das geschah auch auf allen 7 Subdomains.
Das Script füge ich als Text-Datei bei, bitte nicht als HTML oder so ausführen.

Zwar konnte ich die Dateien wieder bereinigen, frage mich natürlich auch, wie das kommen konnte. Hat sich jemand FTP-Zugriff verschaffen müssen, um in die Dateien schreiben zu können, oder ging das auch irgendwie anders?

Ich würde mich über Hinweise freuen, weil ich die Sicherheitslücke gerne gefixt hätte.

MfG

Alex

Geändert von wahsaga (15-03-2010 um 10:21 Uhr) Grund: Anhang entfernt, weil unnötig
Mit Zitat antworten
  #2 (permalink)  
Alt 15-03-2010, 09:34
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo Alex,

wie der Trojaner aussieht lässt keinen Rückschluss darauf zu, wie er ins System gelangt ist. Da musst du schon weitere Informationen liefern.

Falls du irgendein CMS benutzt, sieh nach, welche Sicherheitslücken bekannt sind und wie man die schließt. Wenn du Joomla benutzt, sind dort einige Lücken bekannt.

Außerdem musst du alle deine PHP-Scripts untersuchen, inwieweit die einem Benutzer erlauben könnten, eigenen Code einzuschmuggeln. register_globals sollte unbedingt aus sein und du solltest danach prüfen, was mit $_GET-, $_POST-, $_REQUEST-, $_COOKIE- und $_SESSION-Werten genau passiert und ob die eventuell ungeprüft an Dateisystem-, Prozesskontroll- oder eval-artige Funktionen übergeben werden.

Falls irgendwelche Daten für das head-Element (z. B. Seitentitel) bei dir aus einer DB kommen, solltest du prüfen, ob das vielleicht schon in der DB so drinsteht.

Ansonsten, wie gesagt, mehr Infos!

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #3 (permalink)  
Alt 15-03-2010, 09:54
alex2iceman
 Registrierter Benutzer
Links : Onlinestatus : alex2iceman ist offline
Registriert seit: May 2007
Beiträge: 120
alex2iceman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke für die Antwort,

bei den gehackten Seiten (es sind 2 unterschiedliche) handelt es sich einmal um ein hauseigenes Framework (hier würde ich ein Sicherheitsrisiko eher vermuten) aber auch um eine renomierte Shop-Software, deren Namen ich noch nicht nennen möchte.
Ich lade mir in diesem Augenblick das gesamte Systembackup runter und möchte dann alle Dateien nach dem Schadcode durchsuchen, weil ich vermute dass noch mehr Dateien befallen sein könnten. Eine umfassende DB-Suche hat ergeben, dass der Schadcode nicht aus der Datenbank kommt.

Das Pikante an der Sache ist, dass 2 unterschiedliche Systeme gleichzeitig gehackt worden sind. Daher ist meine Vermutung, dass der Schädlich sich Zugang per FTP verschafft hat. Daher frage ich mich, welcher Werkzeuge er sich bedient hat. Ist auf meinem Rechner ein Spion installiert oder ist vielleicht das ganze Netzwerk befallen? Wo kann ich anfangen zu suchen und vor Allem, wonach?

Über Hinweise würde ich mich freuen, mehr Infos kann ich auch liefern. Ich weiß aktuell halt nicht, wo ich überhaupt anfangen soll.

MfG

Alex
Mit Zitat antworten
  #4 (permalink)  
Alt 15-03-2010, 10:01
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Besorg dir von deinem Hoster mal die FTP-Logs. Eventuell kannst du darin erkennen, zu welchen Zeiten und von welcher Adresse aus sich jemand außer dir eingeloggt hat. Lass es am besten auf SFTP umstellen. Ohne SSL werden die Logindaten unverschlüsselt übertragen und mit einer MITM-Attacke ziemlich einfach auslesen. Eventuell wurde dein System selbst schon manipuliert (Keylogger, Proxy-Server, ...), um beim nächsten Upload das FTP-Passwort zu bekommen. Immer wieder gerne genommen werden auch ARP-Attacken, die aber nur schwer nachzuweisen sind.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #5 (permalink)  
Alt 15-03-2010, 10:07
alex2iceman
 Registrierter Benutzer
Links : Onlinestatus : alex2iceman ist offline
Registriert seit: May 2007
Beiträge: 120
alex2iceman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,

danke für die Stichworte, jetzt weiß ich wenigstens, wonach ich googeln kann!
Mit Zitat antworten
  #6 (permalink)  
Alt 15-03-2010, 10:38
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Dieses ist ein typisches Einfallstor in der php.ini:
Code:
allow_url_include=On
Zumindest in Verbindung mit schlampiger Parameterprüfung.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #7 (permalink)  
Alt 15-03-2010, 12:00
alex2iceman
 Registrierter Benutzer
Links : Onlinestatus : alex2iceman ist offline
Registriert seit: May 2007
Beiträge: 120
alex2iceman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von combie Beitrag anzeigen
Dieses ist ein typisches Einfallstor in der php.ini:
Code:
allow_url_include=On
Zumindest in Verbindung mit schlampiger Parameterprüfung.

Kannst du das bitte näher erleutern? In meiner php.ini taucht der Parameter gar nicht auf.


Ich habe eben vom Provider die Info bekommen, dass zum fraglichen Zeitpunkt eine IP aus den USA sich eingeloggt und innerhalb von 2 Sekunden den Account durchforstet hat. Somit ist die Sache klar, die FTP-Daten wurden geklaut...
Mit Zitat antworten
  #8 (permalink)  
Alt 15-03-2010, 12:03
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Nicht zwingend. Eine Brute Force Attacke ist auch noch möglich.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
SQL Fehlerausgabe = Sicherheitslücke!? Truncate SQL / Datenbanken 3 14-07-2006 17:38
Sicherheitslücke Emailversand Benji PHP Developer Forum 7 04-11-2005 10:45
Sicherheitslücke in php 2.0.10 MaxP0W3R BRAINSTORMING PHP/SQL/HTML/JS/CSS 15 15-12-2004 12:41
Sicherheitslücke MaxP0W3R PHP Developer Forum 14 14-04-2004 14:03
Sicherheitslücke Guncity SQL / Datenbanken 3 01-04-2004 15:46

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:40 Uhr.