[Erledigt] phishing und co

mqs · 20.05.2008, 12:18

hallo!
hab das problem, dass jemand auf meinem server scripte plaziert hat, ohne die zugangsdaten zu haben.. ich nehme mal an das ist über ein eingabeformular passiert... dadurch sind auch gefährliche objekte wie phishing scripte usw oben gelandet.. wie kann ich verhindern dass solche dateien da plaziert werden??

lg.mqs

drieling · 20.05.2008, 12:28

erstmal würde ich sofort den server dicht machen, alles runter, zugangsdaten ändern.

danach: php sicherheit - Google-Suche

ohne daten über die scripte, die auf dem server laufen können wir da nicht viel sagen.

mqs · 20.05.2008, 12:47

die zugangsdaten hat mit sicherheit keiner

das problem ist.. dass ich glab die formulare sicher sind.. hab folgenden tipp bekommen, aber versteh das noch nicht wie ich das einbinden soll bzw wie ich das verstehen soll (kann mir das jemand evtl so erklähren dass es kleine 5 jährige buben auch verstehen

):

Zitat:

vielen Dank für Ihre E-Mail, gerne helfe ich Ihnen weiter.

Sie haben unter folgendem Pfad das Skript function1.php__ und
errors.php, welche fremden/schlechten Code enthalten.
Diese Skripte, includieren mit
include($_REQUEST['rurl']);
bzw. mit
include($_REQUEST["error"]);

jeden Inhalt der Variable $error, bzw. $rurl, ohne zu prüfen, ob diese
böse Inhalte übertragen haben.
Ruft nun ein Angreifer die
webseiten/ilabsat/gruene/includes/function1.php__ über den Browser mit
dem Parameter:
http://domain.tld/ilabsat/gruene/inc...p.net/docs.php
oder
http://domain.tld/ilabsat/gruene/err...p.net/docs.php
auf, so kann er jedes fremde Skripte in Ihrem Skript ausführen (in
diesem Beispiel eine Seite des PHP-Handbuches)!

Absichern können Sie sich gegen solche Angriffe, in dem Sie den Pfad zu
den Skripten fest vorgeben:

include('/kunden/xxx_xxx/webseiten/ilabsat/gruene/'.$_REQUEST['rurl']);

drieling · 20.05.2008, 12:51

1. Mit dem Code kann sich gabnz schnell jemannd die Zugänge besorgen.
2. NIEMALS: Direct aus einem Request includieren. Resultat siehst du.

An deiner stelle würde ich einen switch einbauen.

mqs · 20.05.2008, 12:54

mein include sieht aber folgend aus:

Code:

<?
include "../includes/core.php";
include "../includes/function.php";
?>

hier includiere ich ja nicht aus einem request..

die müssen da anders auf den server kommen.. diese includes wurden in eine datei geschrieben, die nicht ich auf den server platziert habe

drieling · 20.05.2008, 12:57

Zitat:

Zitat von mqs

diese includes wurden in eine datei geschrieben, die nicht ich auf den server platziert habe

Hä? Was machst du?

Wie gesagt ohne genauere Kenntniss de Scripte kann man dir nicht viel helfen. Aber auf jeden Fall solltest du jetzt sofort alles vom Server runterschmeißen.

Eventuell sind irgendwo noch Phishing Seiten auf deinem Server, für die DU haftest.

mqs · 20.05.2008, 13:00

ja hab gemeint.. da ist eine error.php auf meinem server gelandet wo dieses (request) include drinn war. aber diese datei muss ja auch irgendwie da gelandet sein

folgendes ist in der datei gestanden

Zitat:

<? include ($_REQUEST["error"] . "/errors.php"); ?>

aber die stammt nicht von mir

ist es möglich über ein normales eingabefeld dateien auf den server zu platzieren.. ein normal "standard" nicht gesichertes formularfeld

drieling · 20.05.2008, 13:06

Zum 100. Mal:
Wie gesagt ohne genauere Kenntniss de Scripte kann man dir nicht viel helfen.

mqs · 20.05.2008, 13:15

ja danke!

ich hab folgendes gefunden, dass mir weitergeholfen hat:
Tutorials | PHP : Sicherheit | _NEVER_ trust incoming data - Daten richtig verarbeiten

danke für deine hilfe

lazydog · 20.05.2008, 13:23

Zitat:

Zitat von mqs

ich hab folgendes gefunden, dass mir weitergeholfen hat:
Tutorials | PHP : Sicherheit | _NEVER_ trust incoming data - Daten richtig verarbeiten

Also hast du doch mit $_REQUEST (bzw. $_GET) übergebene Daten included.
Damit kann durch einen Angreifer auch Code eingefügt werden, der seinerseits z.B. beliebige Daten auf deine Seite hochlädt und möglicherweise auch deine Scripts überschreibt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] nächst größere ID	s1x	Datenbanken	17	17.10.2008 15:33
[Erledigt] Durch Elemente in Array "durchklicken"	horstenpeter	PHP Tipps 2008	14	14.07.2008 16:17
[Erledigt] Zeile aus Texdatei löschen	PEcman	PHP Tipps 2008	9	09.07.2008 17:32
[Erledigt] Login-Bereich, mit htaccess und php?	pixelprinzessin	PHP Tipps 2008	11	08.07.2008 10:12
[Erledigt] Transparente Runde Ecken bei Thumbnial realisieren	tomtaz	PHP Tipps 2008	3	08.07.2008 01:20
[Erledigt] Problem um mit Zitat antworten zu können!	litterauspirna	PHP Tipps 2008	21	07.07.2008 16:01
[Erledigt] Datumsübernahme von PHP in MySQL	groovemachine	PHP Tipps 2008	1	07.07.2008 10:06
[Erledigt] file_exists() gibt immer False zurück..	Blue-Dragon	PHP Tipps 2008	10	05.07.2008 16:01
[Erledigt] Textarea: Einlesen - Problem..	Softyx	PHP Tipps 2008	2	05.07.2008 12:49
[Erledigt] problem mit mysql db..	philipp_php	PHP Tipps 2008	14	05.07.2008 04:19
[Erledigt] OOP mit PHP 5, Methode kann nicht innerhalb der class ausgeführt werden	dudi	PHP Tipps 2008	6	04.07.2008 00:02
[Erledigt] Pflichtfelder angegeben aber wird nicht überprüft?	pixelprinzessin	PHP Tipps 2008	23	03.07.2008 11:01
[Erledigt] Prüfen, ob ein Wert in der Tabelle ist	Inchie	PHP Tipps 2008	2	02.07.2008 21:08
[Erledigt] preg_match_all und wiederholte Gruppierungen		PHP Tipps 2006	4	19.03.2006 15:59

20.05.2008, 12:18
mqs Erfahrener Benutzer Registriert seit: 31.08.2007 Beiträge: 179	[Erledigt] phishing und co hallo! hab das problem, dass jemand auf meinem server scripte plaziert hat, ohne die zugangsdaten zu haben.. ich nehme mal an das ist über ein eingabeformular passiert... dadurch sind auch gefährliche objekte wie phishing scripte usw oben gelandet.. wie kann ich verhindern dass solche dateien da plaziert werden?? lg.mqs


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.05.2008, 12:28
drieling Erfahrener Benutzer Registriert seit: 08.08.2007 Beiträge: 549 PHP-Kenntnisse: Fortgeschritten	erstmal würde ich sofort den server dicht machen, alles runter, zugangsdaten ändern. danach: php sicherheit - Google-Suche ohne daten über die scripte, die auf dem server laufen können wir da nicht viel sagen. __________________ ---> Abitur in Bremen nachholen - Ich schreibe drüber! <--- Drieling IT - IT Dienstleistungen von Christian Drieling ---> Immobilien in derTürkei <---

20.05.2008, 12:51
drieling Erfahrener Benutzer Registriert seit: 08.08.2007 Beiträge: 549 PHP-Kenntnisse: Fortgeschritten	1. Mit dem Code kann sich gabnz schnell jemannd die Zugänge besorgen. 2. NIEMALS: Direct aus einem Request includieren. Resultat siehst du. An deiner stelle würde ich einen switch einbauen. __________________ ---> Abitur in Bremen nachholen - Ich schreibe drüber! <--- Drieling IT - IT Dienstleistungen von Christian Drieling ---> Immobilien in derTürkei <---

20.05.2008, 12:54
mqs Erfahrener Benutzer Registriert seit: 31.08.2007 Beiträge: 179	mein include sieht aber folgend aus: Code: <? include "../includes/core.php"; include "../includes/function.php"; ?> hier includiere ich ja nicht aus einem request.. die müssen da anders auf den server kommen.. diese includes wurden in eine datei geschrieben, die nicht ich auf den server platziert habe

20.05.2008, 13:06
drieling Erfahrener Benutzer Registriert seit: 08.08.2007 Beiträge: 549 PHP-Kenntnisse: Fortgeschritten	Zum 100. Mal: Wie gesagt ohne genauere Kenntniss de Scripte kann man dir nicht viel helfen. __________________ ---> Abitur in Bremen nachholen - Ich schreibe drüber! <--- Drieling IT - IT Dienstleistungen von Christian Drieling ---> Immobilien in derTürkei <---

20.05.2008, 13:15
mqs Erfahrener Benutzer Registriert seit: 31.08.2007 Beiträge: 179	ja danke! ich hab folgendes gefunden, dass mir weitergeholfen hat: Tutorials \| PHP : Sicherheit \| _NEVER_ trust incoming data - Daten richtig verarbeiten danke für deine hilfe