Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: PHP- Sicherheitslücke (>Include?)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 06.07.2012, 10:50   #1
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Hallo allerseits,
vor einigen Wochen wurde relativ zeitgleich der Webspace zweier Leute, für die ich Seiten gebastelt hatte, gehackt . An meinem Rechner (also z.B. durch Ausspionieren der FTP-Passwörter) lag's nach gründlichem Check durch Trojaner-Board nicht. An einen Zufall glaubte ich trotzdem nicht; eine Sicherheitslücke in der PHP- Programmierung schien mir nicht unwahrscheinlich zu sein. Ich verfüge zwar über das absolute Basis-Sicherheits-Wissen (Superglobals usw.), aber das reicht augenscheinlich nicht: Habe jetzt einiges im Netz über die Sicherheitslücke 'Include-Dateien' gelesen, aber bislang überwiegend Bahnhof verstanden. Wer kann mir auf die Sprünge helfen?
Gruß
sandero

Alt 07.07.2012, 14:21   #2
Shadow
/// Mr. Schatten
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Welche PHP-Version wird denn eingesetzt?
__________________

__________________

Alt 07.07.2012, 15:30   #3
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Der Anbieter (:in beiden Fällen Strato) verwendet aktuell die Version 5.2.17.
Gruß,
sandero
__________________

Alt 07.07.2012, 22:14   #4
deraddi
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



kannst du den hack in den logs nachvollziehen, wie? ist allow_url_fopen auf on? (risiko) ist das php als cgi oder als modul?
es gibt auch löcher im ftp server, hab ich vor jahren auf meinem gehabt. dann den bereich aus dem die attacke kam , eh "nur" russland, in den iptables gesperrt.

Alt 08.07.2012, 16:09   #5
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Sagte mir zwar beides erstmal nichts, konnte ich mir aber 'ergooglen' :-).
Also:
-allow_url_fopen ist in der Tat auf 'on'. (Kann ich da was dran machen?)
-php läuft als Modul.
(Bezüglich des Anbieters habe ich übrigens Mist geschrieben: Beides Hosteurope, aber das nur am Rande.)
Aber ist das denn die gleiche Baustelle wie die 'Include- Sicherheitslücke'? Kann mir dazu jemand etwas schreiben?


Alt 10.07.2012, 21:29   #6
deraddi
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Klar kann man includes als Lücken benutzen, in Kombination mit allow_url_fopen auf on sogar externe skripte von anderen servern includen lassen.
Ohne Sichtung des Quellcodes kann ich aber nicht viel zu sagen.
Sicher das es so passiert ist und nicht über ftp?

Alt 10.07.2012, 22:28   #7
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Nee, ganz und gar nicht sicher. In die Log- Dateien konnte ich noch nicht reinschauen. Habe nicht allzu viel Expertenwissen zu PHP, habe aber nochmal zum Thema 'Include' recherchiert: Da ich hierüber gar keine Variable eingebunden habe, sondern immer nur eine konkrete Datei (zur Einwahl), kann dies eigentlich nicht das Einfalltor sein, oder?
(Wenn's aber stattdessen über FTP passiert ist, müsste bei beiden Betroffenen fast zeitgleich der Tastatur- Befehl abgegriffen worden sein: Natürlich möglich, aber irgenwie glaub' ich's nicht.)
Ich häng mal die Include- Datei an sowie zwei php-Passagen aus der Datei, in welche die Include- Datei eingebunden (und die zwischenzeitkich manipuliert) wurde. Es geht hier lediglich darum, die Links zu Fotos aus einer DB zu holen, die Fotos als Thumbnail- Galerie darzustellen und die Bilder auf Klick vergrößert darzustellen. Aus Datenschutzgründen (:nicht meine Website) hab ich hier und da ** eingefügt.
Hoffe, man kann trotzdem schon etwas daraus ablesen.
Gruß,
sandero
Angehängte Dateien
Dateityp: txt einwahl.txt (180 Bytes, 191x aufgerufen)
Dateityp: txt grossesbild.txt (892 Bytes, 231x aufgerufen)
Dateityp: txt thumbnail_galerie.txt (1,7 KB, 173x aufgerufen)

Alt 10.07.2012, 22:47   #8
deraddi
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Datei grossesbild.txt, Zeile
PHP-Code:
$wahlSorte=$_GET["so"]; 
und
PHP-Code:
 $resGrmysql_query("select * from grossebilder where sorte=\"$wahlSorte\""); 

gaanz grober Schnitzer - du verwendest ungeprüft eine Variable aus GET in einem SQL Befehl. Du bist klassisches Opfer einer SQL Injection geworden.

Es gibt eine goldene Regel: traue NIEMALS den Eingaben eines Nutzers. _GET oder _POST sind klassische Einfallstore für Skriptkiddies.

mindestens
PHP-Code:
$wahlSorte=addslashes($_GET["so"]); 
wäre angebracht gewesen, mache dich mal schlau wie es noch besser geht. Noch besser ist es mysql_real_escape_string() zu verwenden, denn addslashes kann man über UTF auch durchdringen:
hxxp://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

P.S. was ftp angeht, es gibt ältere ftp daemons die verwundbar waren. Man musste nur einen Stack Overflow provozieren und konnte dann ohne Passwort mit root Rechten auf den ftp zugreifen. Dazu gibt es sogar Würmer, mit einem davon musste ich mich vor ein paar Jahren auf mehreren Firmenserver herumplagen.

Alt 11.07.2012, 12:18   #9
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Ookay, den Programmierschnitzer hab ich vom Prinzip, glaube ich, verstanden.
Aber diese _GET-Variable bestimmt ja 'nur', aus welchem Teil der DB das Foto geladen wird. Könnte denn, wenn dieser Befehl korrumpiert wird, auch externer Code eingeschleust werden, oder könnte schlimmstenfalls falsches Material aus meiner Datenbank geladen werden?

Alt 11.07.2012, 16:28   #10
deraddi
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Zitat:
Zitat von sandero Beitrag anzeigen
Könnte denn, wenn dieser Befehl korrumpiert wird, auch externer Code eingeschleust werden, oder könnte schlimmstenfalls falsches Material aus meiner Datenbank geladen werden?
Da könnte so ziemlich alles mit gemacht werden, vom simplen Löschen der gesamten Datenbank bis hin zum Setzen anderer Passwörter.
Wenn Du das Skript z.b. mit
PHP-Code:
hxxp://link-zum-programm/grossesbild.php?so=0; update users set passwort=md5('1234') where username like 'admin'; 
aufrufst erzeugt es folgendes SQL statement:
PHP-Code:
"select * from grossebilder where sorte=0; update users set passwort=md5('1234') where username like 'admin';" 
das sind dann 2 SQL Befehle. leuchtet es ein?
es gibt noch viel mehr Möglichkeiten, bis hin zu Code Injection. Eine ungeprüfte _GET Variable ist eine offene Einladung zum Hacken.

Alt 11.07.2012, 18:40   #11
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Ja, so leuchtet's mir allerdings ein. Öha! Mal gut, dass ich nachgefragt habe; danke für das 'Mini- Tutorial'.
Gruß
sandero

Alt 15.07.2012, 12:37   #12
sandero
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Doch noch eine Frage in selber Sache: Zwar ist mir die Brisanz der (inzwischen behobenen) Sicherheitslücke klar geworden, aber:
Um (wie ebenfalls geschehen) schadhaften Code auch in .htm- Dateien einzufügen, muss doch in irgendeiner Weise das FTP- Passwort gehackt worden sein, nicht wahr? Und das zumindest- so hoffe ich!- dürfte eigentlich nicht im Zusammenhang mit der SQL-Injection stehen können- oder doch ???

Alt 15.07.2012, 22:26   #13
deraddi
 
PHP- Sicherheitslücke (>Include?) - Standard

PHP- Sicherheitslücke (>Include?)



Zitat:
Zitat von deraddi Beitrag anzeigen
P.S. was ftp angeht, es gibt ältere ftp daemons die verwundbar waren. Man musste nur einen Stack Overflow provozieren und konnte dann ohne Passwort mit root Rechten auf den ftp zugreifen. Dazu gibt es sogar Würmer, mit einem davon musste ich mich vor ein paar Jahren auf mehreren Firmenserver herumplagen.
Die Antwort hatte ich schon gegeben.

Antwort

Themen zu PHP- Sicherheitslücke (>Include?)
ausspionieren, gehackt, include, seiten, sicherheitslücke, trojaner-board



Ähnliche Themen: PHP- Sicherheitslücke (>Include?)


  1. Sicherheitslücke in Firmware von AMD-Prozessoren
    Nachrichten - 07.01.2015 (0)
  2. Sicherheitslücke in Versionskontrolle Git
    Nachrichten - 19.12.2014 (0)
  3. Sicherheitslücke im TOR-Client
    Nachrichten - 08.11.2012 (0)
  4. Sicherheitslücke in Firefox 16
    Nachrichten - 11.10.2012 (0)
  5. Sicherheitslücke in WoW?
    Diskussionsforum - 26.07.2012 (12)
  6. Sicherheitslücke in der App von Face.com
    Nachrichten - 20.06.2012 (0)
  7. Sicherheitslücke in Safari demonstriert
    Nachrichten - 10.02.2011 (0)
  8. Include Befehl und HTML
    Alles rund um Windows - 18.10.2010 (14)
  9. Sicherheitslücke?
    Log-Analyse und Auswertung - 21.07.2010 (1)
  10. Sicherheitslücke?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2010 (5)
  11. Sicherheitslücke in Microsoft IIS
    Nachrichten - 27.12.2009 (0)
  12. Sicherheitslücke in Thunderbird 2.x
    Nachrichten - 11.12.2009 (0)
  13. include errors??????
    Mülltonne - 26.04.2008 (0)
  14. Neue Sicherheitslücke in FF 1.5.0.3....
    Alles rund um Windows - 15.05.2006 (1)
  15. Fierfox Sicherheitslücke
    Alles rund um Windows - 13.09.2005 (1)
  16. Sicherheitslücke im Firefox?
    Plagegeister aller Art und deren Bekämpfung - 29.08.2004 (8)

Zum Thema PHP- Sicherheitslücke (>Include?) - Hallo allerseits, vor einigen Wochen wurde relativ zeitgleich der Webspace zweier Leute, für die ich Seiten gebastelt hatte, gehackt . An meinem Rechner (also z.B. durch Ausspionieren der FTP-Passwörter) lag's - PHP- Sicherheitslücke (>Include?)...
Archiv
Du betrachtest: PHP- Sicherheitslücke (>Include?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.