PHP Sicherheitslücke c99.php ???


Seite: 1
Autor Beitrag
maximuff13
26.01.13 - 20:40:31 Uhr

Hallo,
Ich bin es mal wieder... ich habe diesmal aber ein schwerwiegenderes Problem mitgebracht.

Ich habe anscheint eine Sicherheitslücke in meinen Scripten die ich nicht finden kann.

Irgendjemand schafft es ohne spuren zu hinterlassen Bilder hoch zu Laden und Datenbank Einträge zu erstellen.
wenn ich nach diesen bildern Google finde ich solche Pfade :

  1. http://domain.de/C99.php?act=f&f=164617_325988124180996_1344311248_n.jpg&d=%2Fvar%2Fwww%2Fvhosts%2Fsexpoppen.de%2Fhttpdocs%2FBilder%2FIva&  
  2. http://domain.de/C99.php?act=ls&d=%2Fvar%2Fwww%2Fvhosts%2Fsexpoppen.de%2Fhttpdocs%2FBilder%2FIva&sort=0a  
  3. http://domain.de/C99.php?act=chmod&f=164617_325988124180996_1344311248_n.jpg&d=%2Fvar%2Fwww%2Fvhosts%2Fsexpoppen.de%2Fhttpdocs%2FBilder%2FIva  

eine c99.php kann ich aber nirgends finden.

Bitte bitte helft mir.
Achtzig
27.01.13 - 05:10:07 Uhr

Ein paar Informationen mehr wären schon hilfreich. Wenn ich mich recht erinnere, bist Du fleißig dabei, etwas eigenes zu programmieren. Und wenn ich mich ebenfalls recht erinnere, hast Du mehrmalige Hinweise von uns zur Sicherheit Deines Scriptes ignoriert beziehungsweise auf morgen verschoben. Ich glaube, daß rächt sich jetzt

Damit wir Dir helfen können, brauchen wir natürlich den Quelltext - sonst wird das wohl nichts. Die Tipps die Seite vom Netz zu nehmen hast Du hoffentlich ernst genommen (http://phpforum.de/forum/showthread.php?t=274318).

Dein Quelltext war immer unnötig unübersichtlich. Wenn Du Dich erstmal hinsetzt und den aufräumst, wird man Fehler und Sicherheitslöcher recht schnell finden.
SammysHP
27.01.13 - 10:57:38 Uhr

Punkt 1: Erstmal alles von deinem Webspace löschen. Und auch nicht wieder verwenden. Ich habe jetzt zwar nicht ganz verstanden, wie du die Verbindung zu C99 gezogen hast, wenn du aber wirklich eine Remote File Inclusion Lücke hast, dann hat der Angreifer damit Vollzugriff auf alle deine Dateien und die Datenbank gehabt.

Das bedeutet: Siehe alles, was du auf deinem Webspace hattest, als kompromittiert an. Passwörter? Nie wieder verwenden, zu den Hashes (hattest du welche?) könnte inzwischen ein Passwort gefunden worden sein. Also überall schnell ändern.

Die Dateien (php-Scripts etc.) könnten alle modifiziert worden sein. Wenn du nicht von jeder Datei eine Prüfsumme hast, schmeiß sie weg und nimm eine Version, die noch nie das Internet erblickt hat.

Und bevor du wieder etwas hoch lädst, finde die Schwachstellen und schließe sie.
SammysHP
27.01.13 - 12:13:19 Uhr

Dein Twitter-Account? https://twitter.com/maximuff13

Sieht auch ein wenig zugespammt aus.
wemaflo
27.01.13 - 23:01:16 Uhr

Auch wenn das aktuell nicht so aussieht bei Twitter (manche posten eben nur Links) noch ein Hinweis:

Nicht selten ist die Schwachstelle der Computer des Webmasters. Viele Nutzen FTP-Programme wie FileZilla, die die Passwörter im Klartext in den Konfigurationsdateien speichern. Hast du also erstmal nen Schädling mit Standleitung nach Hause auf deinem PC sind schnell auch die Passwörter für FTP kopiert.
Hat man erst mal Zugriff auf den FTP-Zugang, kann man wunderbar eine PHP Shell hoch laden oder allerlei Schabernack mit existierenden Seiten treiben oder auch die in den Konfigurationsdateien des CMS im Klartext hinterlegten Zugangsdaten für MySQL nutzen, um die Datenbank zu bespaßen.

Was ich damit sagen will: Eventuell kannst du nicht nur den Daten auf deinem Webspace nicht mehr trauen, sondern auch denen auf deinem Computer. Das wäre natürlich ärgerlich.
bolivien
12.03.13 - 08:55:51 Uhr

Den hatte ich auch schon mal "zu Besuch", allerdings nicht bei Pytal. Ursache war eine nicht ordentlich abgesicherte Forensoftware, bei der Mitglieder an Stelle von xxx.jpg c99.php.jpg hochladen konnten.
Seite: 1

- Obige Beiträge stellen keine Äußerung oder Meinung von Pytal oder dessen Betreiber dar -