» »

hacked?

hacked?

Izak ::

Nevem, verjetno so mi preko kake slabo zaščitene php skriptice, samo naložili gor par čudnih fajlov v mapo uploads (chmod 777) enega izmed free cms sistemov. Zdej, upam da niso naredili več škode in kako svojo kodo uštulili noter v scripte. Ker vem, da vas je precej php poznavalcev tukej gor, vam to zadevo prilepim in prosim za nasvete. Zanima me kaki chmod imaste na fajlih (html, php) ter folderjih, na web serverjih.

klik html

klik php

Stvar se je zgodila na privat serverju, vendar sem ga zaradi varnosti naložil na freeweb.

Zanimivi php... :shock: Shranite ga in odprite v dreamweaverju. Html je očitno samo opozorilo da si pohekan.

edit:

Hmm...

Očitno nisem edini in je skupina kar dejavna...:

[tu je nekoč bil link do kontrolne plošče za nadzor pohekanih strežnikov]

Lp
  • spremenil: Primoz ()

sverde21 ::

Tist PHP fajl, ki si ga prilimal je PHPshell, napadalcu omogoča grafični pogled nad datotekami in delo z le temi. Kako so not prišli neb vedu, ker zato boš mogu access_log od apača pogledat., Probaš lahko tud kontaktirat kerga od napadalcev, ker so na oni "deface" strani pustili svoje mejle, tak da mogoče bojo tok prijazn, pa ti povedal kje je lukna :) .

Očitno nisem edini in je skupina kar dejavna...:
Jah te skupine že skor tekmujejo v tem kolk deface-ov naredijo in pol te deface submitajo v arhivo na strani zone-h.org in pol so kao pomembni (oz. vsaj mislijo si da so neki več od drugih).
<?php echo `w`; ?>

Phoebus ::

ja lepo bi bilo če bi kaki organi pregona delali in te ljudi pohopsali.
Če bi roparji na neko javno oglasno desko pisali koliko (in kaj vse) so že vlomili, tega ne bi delali dolgo. Na internetu pa...no, saj še par let pa se bo uredilo tudi to.

sverde21 ::

Aja glede chmodov je pa tak, fajn je da maš datoteke chmodane na 644 ampak včasih zna kaka PHP skripta težit, da ne more pisat v datoteko potem. Enako je pri mapah, ki bi naj ble chmodane na 755 ampak v primeru, da mora PHP kaj zapisati v datoteko v tej mapi, bo težil, da ne more.

@Phoebus: teh scriptkiddyjev še nekaj časa e bodo ukrotili. Še v ameriki, kjer je že kar fajn zrihrtana zakonodaja glede tega take pustijo primir, AFAIK moraš za $5000+ škode naredit, da si sploh vreden pozornosti pristojnih organizacij.
<?php echo `w`; ?>

just_a_cook ::

To mi ni najbolj jasno: kako lahko nekdo iz remote tebi v mapo pise (ce je le-ta CHMOD 777)?

Kaksna skripta?

ps. kaj pa na win serverjih?
==================
Just a cook

poweroff ::

Takole je. Če so ti prišli na server in uspeli pognati kakšno PHP skripto, potem je velika verjetnost, da so uspeli priti tudi do shella. In ko so enkrat v shellu lahko ugotovijo katero jedro OS-a laufaš. In potem se samo malce pobrska po Googlu in milw0rmu in najde exploit, ki ti eskalira privilegije. In potem je ta uporabnik preko web skripte root.

In ko je root, potem ti lahko "popatcha" sistem.

Iz tega sledi, da odstranitev spornih PHP skript in popravilo kode, ki je omogočila vdor nikakor ni dovolj. Treba je zamenjati - na novo naložiti - celoten sistem.
sudo poweroff

link_up ::

To mi ni najbolj jasno: kako lahko nekdo iz remote tebi v mapo pise (ce je le-ta CHMOD 777)?


777 zgleda nekako takole: -rwxrwxrwx

torej se other user se pocuti, kot bog nad fajlom :D
In and Out

Izak ::

Šlo je za en CMS ( CMS Made Simple) in mapo uploads, za katero cms zahteva 777 pravice. Notr se nalagajo samo slikovne datoteke. In ko jst pogledam v mapo uploads, zagledam notr zgornji html ter php datotekci. Zdaj me zanima če se je ta kiddy :D z zagonom te skripte na povezavi blablablacms.com/uploads/ lahko infiltriral v sistem oz. skripte? Plac na serverju imam zakupljen, tko da me bolj kot sistem skrbijo skirpte. >:D

Hvala!

Lp

poweroff ::

Uuu, to je pa ful dobro, ko tile CMSji opmogočajo upolod PHP skript, ki jih potem lahko zaženeš. Ja, če so skripte chmodane na 777 je lahko komot pisal vanje. Lahko pa je tudi spremenil zaščito, če je owner (www-data). To je najbolj enostaven način.
sudo poweroff

sverde21 ::

CMS zahteva chmod 777 za upload heh pomoje bi bil chmod 666 (samo branje in pisanje) bolš ;) . Poleg tega pa CMS nebi smel dovolit nalaganja datotek z končnico .php :)
<?php echo `w`; ?>

zdobersek ::

ze par komand v sliki je dost, afaik.

sverde21 ::

PHP engine ne izvaja datotek z končnicami slik po defaultu, če je pa kdo tolk butast, da bo šou prosit, da mu en usuje strežnik, mu je pa čist prov :)
<?php echo `w`; ?>

zdobersek ::

sliko, opremlejno s "kometarji", hackzor prenese na streznik, jo v brskalniku odpre, in totalno spremeni index. vseeno ne vem, ali jo mora direktno odpreti, ali pa je ze dosti, da samo odpre stran, na kateri je ta slika.

sverde21 ::

jah potem mora še .htaccess gor v tisto mapo zuploadati, ker drugače, če nekdo odpre tisto sliko z PHP kodo in jo apache niti PHP-ju ne pošlje v izvajanje ti tista slika nič ne koristi.
<?php echo `w`; ?>

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pomoč pri varnostni kodi knjige gostov

Oddelek: Izdelava spletišč		131470 (1193) mat3

Težave Xgroznik-a pri izdelavi strani!

Oddelek: Izdelava spletišč		251915 (1371) OwcA

image gallery management system

Oddelek: Izdelava spletišč		211931 (1608) CWIZO
»

php scripte

Oddelek: Izdelava spletišč		5929 (833) McAjvar
»

CuteFTP

Oddelek: Omrežja in internet		12993 (844) lordgreg

Več podobnih tem