XLB

N'Abend ...

F-Secure hat beim blossen Laden der Seite schon rumgeplärrt. Das "Ding" wurde als Trojaner "PHP/Chaploit.A@expl" identifiziert, allerdings ohne weitere Angaben über die potentielle (Schad)Wirkung. Eine kurze Google-Recherche ergab ebenfalls keine weiteren Details.

Gut's Nächtle soweit ...

Mister Ad

squig

Hola,

man kann doch den Server, z.B. Apache, so einstellen, dass er Dateien die auf ".jpg" enden z.B. als PHP - Script ausführt.
So kann ein harmlos aussehender Bilderlink im wahrsten Sinne des Wortes als "Trojanisches Pferd" genutzt werden.


Bis dääähne.

Slava

deshalb sage ich doch, dass es kein .httaccess in uploadordner kommen darf.

Jetzt sprechen wir mal über ein trojaner, der auf ein mal hohgeladen wird.
egal, ob man ein uloadscript hat oder nicht, ist es möglich an einen Server eine datei zu senden. Diese Datei kommt automatisch in tempordner von Apache und wird unter einem tempnamen für eine kurze zeit abgespeichert. kommt man auf die Idee die datei in tempordner zum ausführen bringen, dann ist das sehr gefährlich. Aber ich kenne kein Programm, die extra versucht die dateien im tempordner ausführen und normale weise ist der zugriff auf temp-ordner von aussen nur bei extra blöder einstellung möglich. Also haben wir mal ein Virus-script in unserem TMP-Ordner, der einfach nach gewisser zeit weggeräumt wird. Und das beste was wir machen können, diesen script nicht extra zum laufen bringen und verbieten eine .htaccess in unser webordner einzuschleusen.

__________________
Slava
http://bituniverse.com

saibot

Das scheint jeden Tag mehr zu werden. Hier mal ein Auszug aus 2 Tagen:

Was lässt sich dagegen unternehmen? Langfristig wird es wohl sinnvoll sein den Parameter "site" in irgend eine unscheinbare Buchstabenkombination umzutaufen. Aber bis Google das alles wieder indiziert hat wird ewig dauern.

Was kann man auf die schnelle tun? Hab mir überlegt, einfach bevor im Script irgendwas ausgegeben wird zu prüfen ob ein http in einem GET-Parameter vorkommt und ggf. das Script mit Exit zu beenden. Das würde unnützen Traffic sparen und diese Bots aussperren.

Hat jemand ne bessere Idee?

Slava

also abfangen von den parameter und ein Abbruch von der Anwendung in einem verdächtigem Fall ist nicht falsch.
andere seits, wenn du Gefühl hast, dass deine Anwendung sicher ist und die aufrufe von den Jungs kein Erfolg haben werden, dann kannst du damit ruhig weiter leben und auf 20 Hacker Zugriffen pro Tag einfach pfeifen.

Wenn die server von angreifer in EU sind, dann versuch besser der druck auf die Jungs über ihre Provider ausüben.

wenn du wirklich auf die Jungs sauer bist, und die Server von Angreifer ausserhalb von EU sind, dann schreib dir ein Roboter( am bestens in Java oder Dotnet) der von deinem PC etwa 10 Gigabyte Daten von den Angreifer pro tag absaugt (!!aber von dynamischem Content!!). hänge dabei ein parameter wo es im klartext steht, dass sie mit dem scheiss aufhören müssen und die korupte Datei von ihrem server löschen müssen (aber schreib in keinem fall deine Internet adresse, damit sie nicht genau wissen von wem das kommt). Sie werden versuchen die Roboterzugriffe selbständig abwären, aber um den Jungs die Aufgabe zu erschwären, kann man auch IP-Spoofing (Java oder .Net ist dafür kein passendes Werkzeug) anwenden.

__________________
Slava
http://bituniverse.com