FreAkaZoiD

Hallo Forum,

Grund dieses Postings ist dass ich heute von meinem Provider abgemahnt wurde, da ich anscheinend SPAM verschicke. Nachdem ich das etwas verwundert zur Kenntnis genommen hatte -> Tasse Kaffe & Logfile durchsuchen.

Raus kam dass ich auf ner uraltseite mit include() über Cross-Site-Scripting gehackt wurde. Der hat einfach folgende URL inkludiert:
http://trojanboy.by.ru/trojanboy.txt?

Ist wohl sowas wie ein Formmailer - muss es mir aber noch genauer anschauen...

Nun wollt ich Wissen welcher Knaller so nen Scheiß macht und hab nach der URL gegoogelt - siehe da, war wohl nicht das einzige "Opfer" !

Schließlich fand ich was das der auf ner anderen Seite eingebunden hatte:
http://www.trojanboy.by.ru/r57shell.txt? <- nicht aufrufen !! Erst weiterlesen !!!

ACHTUNG !!! Bevor jemand den Link anklickt schonmal der Hinweis das bei mir der Virenscanner angeschlagen hat (Antivir). Und jetzt kommts - die meldung lautet dass ein PHP Virus gefunden wurde !?

Da ich das Script nicht verstehe wollt ich euch mal fragen ob es das überhaupt gibt !? PHP Virus ?? Noch nie gehört !?

Was macht das Script denn so ungefähr, und was das wichtigste ist, wie kann ich mich davor schützen ?

Bin schonmal auf eure Reaktionen gespannt !

Anmerkung:
Ich hab echt lang überlegt bevor ich anfing zu schreiben - was wenn sich so Script Kiddies das Zeug kopieren und dann Ihren Schabernack treiben ?`Ich kam jedoch zu dem Schluß dass es wahrscheinlich besser ist solche Methoden aufzuzeigen um zu Wissen was eigentlich passiert und wie man sich schützen kann.

@ Admins: Solltet Ihr die Links für bedenklich halten bitte einfach löschen, oder mir bescheid geben, Danke !

__________________
<! -- it´s not a bug - it´s a feature -- >

Mister Ad

CIX88

Die Sache mit r57shell ist eigentlich schon bekannt.
Viele wissen es gar nicht, dass sie solche netten PHP-Scripte auf ihrer Website haben.
Es reicht irgendwo eine undichte Stelle (POST, GET etc..), und jemand kann dieses Script auf dem Server speichern, aufrufen und deine komplette Website umschreiben.

PHP-Viren gibt es nicht, nur teilweise schlampige Programmierung.
Sorry der harte Ausdruck, ist aber leider so.

EDIT:

Achso, der Virenscanner schlägt nur an, wenn die Datei (siehe Link) im Cache abgelegt wird, nicht vom Aufrufen selber.

Igäl

Habt ihr denn irgendwo eine gute Seite, wo mal steht wo Sicherheitslücken entstehen können und wie man die vermeiden kann. Ich programmiere jetzt schon relativ lange PHP, aber halt immer ähnliche Sachen, so dass ich mich kaum weiter entwickle. Es nähme mich aber langsam mal wunder, wie gut meine Scripts halten.

__________________
Das Recht auf Dummheit gehört zur Garantie der freien Entfaltung der Persönlichkeit.
Mark Twain

CIX88

Eine Seite kenne ich jetzt jetzt, aber solche Lücken können überall entstehen wo Parameter oder Inhalte übergeben werden.
Formulare, Parameter per URL, magelhafte Include-Anweisungen, divsere Uploads (Bildupload) oder PHP-Overflow usw. usw. usw.

Und wenn man irgendwo PHP-Code mit übergeben kann, ist schnell ein exec inkl. wget zu einer fremden Datei im System.
Und dann kann man schnell eine PHP-Datei mit r57shell-Inhlat anlegen, naja der Rest ist dann fatal.

FreAkaZoiD

@ Igäl: Googel mal nach "Cross-Site-Scripting" und "SQL-Injection" da solltest Du schon einiges zum lesen bekommen.

Es lohnt sich echt von Zeit zu zeit die Logs nach ".ru" abzusuchen.
Hatte vor einiger zeit sogar mal nen Russischen Filesharer der sich im image-Ordner eines Kunden eingenistet hat...

__________________
<! -- it´s not a bug - it´s a feature -- >

MerlinderZauberer

Hallo,

schau Dir mal diesen Beitrag an http://www.phpfriend.de/forum/viewtopic.php?t=61866

Gruß Merlin der Zauberer

__________________
www.Sternenwelt.net - Astronomie im Internet -
www.SternenweltForum.net - Antworten rund um die Astronomie -

M3g4Star

DEN find ich persönlich besser

wobei zu beachten ist: