Sicherheitsfragen

Marko_Schulze · 08.02.2008, 14:54

Hallo zusammen! Ich weiß nicht, ob ich hier im richtigen Bereich dafür bin, aber notfalls kann ja ein Moderator das Topic schieben. Da ich mich leider mit PHP quasi kaum auskenne, werd ich mein Anliegen einfach mal hier anbringen und auf professionelle Hilfe hoffen. Und zwar habe ich folgendes Problem: Ich habe vor kurzem jemandem Zugriff auf meinen Webspace sowie die SQL Datenbanken gegeben. Dummerweise hat sich das als Fehler herausgestellt, da die Person nicht vertrauenswürdig ist. Ich habe zwar alle Passwörter für die Datenbanken/Verzeichnisse/FTP-Zugänge geändert, aber dennoch habe ich das Gefühl, dass die Person weiterhin Zugriff darauf hat, ohne dass ich Kenntnis davon habe. Nach eigenen Angaben ist die Person in der Lage, Datenbanken und Zugänge von Webspace-Anbietern zu hacken, wobei ich allerdings nicht weiß, ob die Person damit gelogen hat. Nun zu meiner eigentlichen Frage: Ist es möglich, Zugriff auf Datenbanken und/oder Dateien mittels PHP (oder anderen Möglichkeiten) zu erhalten, wenn einem die Passwörter etc. nicht bekannt sind? Evtl. durch eine vorher eingeschleuste Datei, als die Passwörter der Person noch bekannt waren? Ich kenne mich leider bei solchen Sachen gar nicht aus und habe das dumme Gefühl, solch einer Person hilflos ausgeliefert zu sein. Für Ratschläge jeder Art wäre ich euch sehr dankbar. Bis bald (hoffentlich)! Marko

PTC · 09.02.2008, 08:39

Eigentlich nicht, da PHP für Datenbankzugriff auch ein Passwort benötigt!

Drache · 09.02.2008, 10:01

wenn du die verbindungsdaten in ner datei gespeichert hast zum includieren, kann es sein, dass die person dadurch wieder auf die db zugreifen kann, wenn in irgendeiner datei entsprechender code enthalten ist.

ansonsten würd ich sicherstellen, dass keine geänderte datei schadcode enthält. (z.b. uploadscripte, andere scripte überschreiben, ...)

David · 09.02.2008, 10:46

Jupp, im Grunde muss jedwede Skriptdatei untersucht werden.
Es kann auch sein, dass demjenigen eine Schwäche/Lücke im Quellcode eines Skripts aufgefallen ist und diese jetzt ausnutzt. Es reicht also unter Umständen nicht mal, nur nach Änderungen zu suchen.
Mal als ganz einfaches Beispiel: Derjenige sieht, dass an irgendeiner Stelle im Code

PHP-Code:

  include $_GET['category'];

steht. Das ist richtig blöd, sieht man aber immer wieder mal. Ruft man das Skript jetzt so ab, dass in $_GET['category'] zum Beispiel http://mein.eigenener.server/malcode.txt steht, kann es passieren, dass dieser Quellcode abgerufen und ausgeführt wird. Und das kann alles mögliche (schlimme) sein. Also wie gesagt: Nur nach Änderungen suchen, reicht eventuell nicht.

Marko_Schulze · 09.02.2008, 13:29

Danke schonmal für die Antworten. Habe leider keine Ahnung, was schädlicher Quellcode sein könnte zumal eine Kontrolle aller Dateien nicht einfach ist, da es doch mehrere hundert php-Dateien sind. Die Passwörter sind halt in den Config-Dateien für die entsprechenden Anwendungen gespeichert (Forensoftware usw.). Die kann ich da ja schlecht entfernen. Hab schon überlegt, alles neu aufzusetzen und die alten Dateien zu löschen. Das wäre glaub ich schneller, als alles zu durchsuchen. Oh man, ich hasse Leute, die es sich zum Hobby gemacht haben, anderen den Tag zu versauen.

David · 09.02.2008, 22:14

Wenn es fertige Software ist, entweder ohne Anpassung oder wo Du auf Anpassungen erstmal verzichten kannst, ja, alles neu aufsetzen. Am besten Backup machen und wirklich alles vom Server nehmen und die jeweils aktuelle, offizielle Version einspielen.
Und dann sofern vorhanden (zum Beispiel bei der Forensoftware) die Benutzerverwaltung mal durchgehen und nach weiteren Admin/Moderatoren/Sonstwas Accounts Ausschau halten.

drieling · 10.02.2008, 08:59

Eigentlich hat jeder Webserver logfles für jeden Pups. Entweder über die Serververwaltung oder direkt per FTP verfügbar (ansonten beim Provider nachfragen).

Da würde ich kontrollieren, was auf meinem Server passiert. Welche Scripte laufen, wann auf den FTP zugegriffen wird etc.

Gegebenfalls nochmal alle Passwörter ändern, alles vom server löschen und nur das wieder hochladen, wo dir sicher bist.

Das Risiko besteht, das dein Server für irgendwelche Filesharing aktivitäten oder ähnliches genutzt wird. Da alles auf deinen Namen läuft, kann es sein dass du dafür zur rechenschaft gezogen wirst.

Wenn du mehr Fragen dazu hast, kannst du dich auch per ICQ oder per mail (alles über mein Profil zu finden oder auf www.christian-drieling.de) bei mir melden. Helfe dir gerne

Marko_Schulze · 10.02.2008, 14:52

Hallo Christian, danke für dein Angebot. Ich komme gern darauf zurück und melde mich heute Abend oder morgen mal bei dir per ICQ/Mail. Hängt davon ab, was meine Frau so für den Sonntag geplant hat.

newLoki · 11.02.2008, 15:38

Wahrscheinlich wird dieser Typ deinen Server nicht über PHP weiter auskundschaften, wenn er einmal Zugriff auf den FTP-Server hatte, konnte er wahrscheinlich eine Hintertür in Form eines speziellen Programmes hochladen (z.B.: Back Orifice) dieses kann man allerdings über einen Registerschlüssel des Windows identifizieren (an das Programm regedict.exe kommt man allerdings nur ran wenn man Administratorrechte auf dem Server hat -->einfach mal nach Backdoorbeseitung googeln).
Ich denke das er, wenn Überhaupt, einen solchen Weg gegangen ist, da es relativ Komplex ist sich über nen PHP-script bzw. über einen Hack des Apache-servers in ein System reinzuhacken (man muss zum Beispiel einen aktuellen Exploit ausnutzten, was sehr anspruchsvoll ist).
Es kann allerdings auch sein, das er, wenn er kompletten zugriff auf das System hatte (Beispielsweise: Wenn der Server bei dir zuhause steht oder er anderweitig rankommen konnte) sich Masterpasswörter eingerichtet hat.
Du kannst ihn ja einfach mal zum Test fragen welchen Softwareexploit er genommen hat, wenn er dir diesen nennt ist er ziemlich dumm, oder hat diesen Exploit einfach nur irgendwo gelesen und weiss nicht wie man ihn ausnutzt, wenn er allerdings nicht mal weiss was nen Exploit ist, kannst du davon ausgehen, das er auf jedenfall nicht das Zeug hat um nen Server zu hacken.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

08.02.2008, 14:54
Marko_Schulze Neuer Benutzer Registriert seit: 08.02.2008 Beiträge: 6	Sicherheitsfragen Hallo zusammen! Ich weiß nicht, ob ich hier im richtigen Bereich dafür bin, aber notfalls kann ja ein Moderator das Topic schieben. Da ich mich leider mit PHP quasi kaum auskenne, werd ich mein Anliegen einfach mal hier anbringen und auf professionelle Hilfe hoffen. Und zwar habe ich folgendes Problem: Ich habe vor kurzem jemandem Zugriff auf meinen Webspace sowie die SQL Datenbanken gegeben. Dummerweise hat sich das als Fehler herausgestellt, da die Person nicht vertrauenswürdig ist. Ich habe zwar alle Passwörter für die Datenbanken/Verzeichnisse/FTP-Zugänge geändert, aber dennoch habe ich das Gefühl, dass die Person weiterhin Zugriff darauf hat, ohne dass ich Kenntnis davon habe. Nach eigenen Angaben ist die Person in der Lage, Datenbanken und Zugänge von Webspace-Anbietern zu hacken, wobei ich allerdings nicht weiß, ob die Person damit gelogen hat. Nun zu meiner eigentlichen Frage: Ist es möglich, Zugriff auf Datenbanken und/oder Dateien mittels PHP (oder anderen Möglichkeiten) zu erhalten, wenn einem die Passwörter etc. nicht bekannt sind? Evtl. durch eine vorher eingeschleuste Datei, als die Passwörter der Person noch bekannt waren? Ich kenne mich leider bei solchen Sachen gar nicht aus und habe das dumme Gefühl, solch einer Person hilflos ausgeliefert zu sein. Für Ratschläge jeder Art wäre ich euch sehr dankbar. Bis bald (hoffentlich)! Marko


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

09.02.2008, 08:39
PTC Erfahrener Benutzer Registriert seit: 27.10.2007 Beiträge: 1.708 PHP-Kenntnisse: Anfänger	Eigentlich nicht, da PHP für Datenbankzugriff auch ein Passwort benötigt!

09.02.2008, 10:01
Drache Benutzer Registriert seit: 02.12.2007 Beiträge: 70	wenn du die verbindungsdaten in ner datei gespeichert hast zum includieren, kann es sein, dass die person dadurch wieder auf die db zugreifen kann, wenn in irgendeiner datei entsprechender code enthalten ist. ansonsten würd ich sicherstellen, dass keine geänderte datei schadcode enthält. (z.b. uploadscripte, andere scripte überschreiben, ...) __________________ Karteikasten "Es gibt auch Linux-Aussteiger. Aber die Rückfallquote steigt mit jeder Win-Version." - Walter Saner in de.newusers.questions

09.02.2008, 10:46
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Jupp, im Grunde muss jedwede Skriptdatei untersucht werden. Es kann auch sein, dass demjenigen eine Schwäche/Lücke im Quellcode eines Skripts aufgefallen ist und diese jetzt ausnutzt. Es reicht also unter Umständen nicht mal, nur nach Änderungen zu suchen. Mal als ganz einfaches Beispiel: Derjenige sieht, dass an irgendeiner Stelle im Code PHP-Code: `include $_GET['category'];` steht. Das ist richtig blöd, sieht man aber immer wieder mal. Ruft man das Skript jetzt so ab, dass in $_GET['category'] zum Beispiel http://mein.eigenener.server/malcode.txt steht, kann es passieren, dass dieser Quellcode abgerufen und ausgeführt wird. Und das kann alles mögliche (schlimme) sein. Also wie gesagt: Nur nach Änderungen suchen, reicht eventuell nicht.

09.02.2008, 13:29
Marko_Schulze Neuer Benutzer Registriert seit: 08.02.2008 Beiträge: 6	Danke schonmal für die Antworten. Habe leider keine Ahnung, was schädlicher Quellcode sein könnte zumal eine Kontrolle aller Dateien nicht einfach ist, da es doch mehrere hundert php-Dateien sind. Die Passwörter sind halt in den Config-Dateien für die entsprechenden Anwendungen gespeichert (Forensoftware usw.). Die kann ich da ja schlecht entfernen. Hab schon überlegt, alles neu aufzusetzen und die alten Dateien zu löschen. Das wäre glaub ich schneller, als alles zu durchsuchen. Oh man, ich hasse Leute, die es sich zum Hobby gemacht haben, anderen den Tag zu versauen.

09.02.2008, 22:14
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Wenn es fertige Software ist, entweder ohne Anpassung oder wo Du auf Anpassungen erstmal verzichten kannst, ja, alles neu aufsetzen. Am besten Backup machen und wirklich alles vom Server nehmen und die jeweils aktuelle, offizielle Version einspielen. Und dann sofern vorhanden (zum Beispiel bei der Forensoftware) die Benutzerverwaltung mal durchgehen und nach weiteren Admin/Moderatoren/Sonstwas Accounts Ausschau halten. Geändert von David (09.02.2008 um 22:16 Uhr).

10.02.2008, 08:59
drieling Erfahrener Benutzer Registriert seit: 08.08.2007 Beiträge: 549 PHP-Kenntnisse: Fortgeschritten	Eigentlich hat jeder Webserver logfles für jeden Pups. Entweder über die Serververwaltung oder direkt per FTP verfügbar (ansonten beim Provider nachfragen). Da würde ich kontrollieren, was auf meinem Server passiert. Welche Scripte laufen, wann auf den FTP zugegriffen wird etc. Gegebenfalls nochmal alle Passwörter ändern, alles vom server löschen und nur das wieder hochladen, wo dir sicher bist. Das Risiko besteht, das dein Server für irgendwelche Filesharing aktivitäten oder ähnliches genutzt wird. Da alles auf deinen Namen läuft, kann es sein dass du dafür zur rechenschaft gezogen wirst. Wenn du mehr Fragen dazu hast, kannst du dich auch per ICQ oder per mail (alles über mein Profil zu finden oder auf www.christian-drieling.de) bei mir melden. Helfe dir gerne __________________ ---> Abitur in Bremen nachholen - Ich schreibe drüber! <--- Drieling IT - IT Dienstleistungen von Christian Drieling ---> Immobilien in derTürkei <---

10.02.2008, 14:52
Marko_Schulze Neuer Benutzer Registriert seit: 08.02.2008 Beiträge: 6	Hallo Christian, danke für dein Angebot. Ich komme gern darauf zurück und melde mich heute Abend oder morgen mal bei dir per ICQ/Mail. Hängt davon ab, was meine Frau so für den Sonntag geplant hat.

11.02.2008, 15:38
newLoki Neuer Benutzer Registriert seit: 01.02.2008 Beiträge: 7	Wahrscheinlich wird dieser Typ deinen Server nicht über PHP weiter auskundschaften, wenn er einmal Zugriff auf den FTP-Server hatte, konnte er wahrscheinlich eine Hintertür in Form eines speziellen Programmes hochladen (z.B.: Back Orifice) dieses kann man allerdings über einen Registerschlüssel des Windows identifizieren (an das Programm regedict.exe kommt man allerdings nur ran wenn man Administratorrechte auf dem Server hat -->einfach mal nach Backdoorbeseitung googeln). Ich denke das er, wenn Überhaupt, einen solchen Weg gegangen ist, da es relativ Komplex ist sich über nen PHP-script bzw. über einen Hack des Apache-servers in ein System reinzuhacken (man muss zum Beispiel einen aktuellen Exploit ausnutzten, was sehr anspruchsvoll ist). Es kann allerdings auch sein, das er, wenn er kompletten zugriff auf das System hatte (Beispielsweise: Wenn der Server bei dir zuhause steht oder er anderweitig rankommen konnte) sich Masterpasswörter eingerichtet hat. Du kannst ihn ja einfach mal zum Test fragen welchen Softwareexploit er genommen hat, wenn er dir diesen nennt ist er ziemlich dumm, oder hat diesen Exploit einfach nur irgendwo gelesen und weiss nicht wie man ihn ausnutzt, wenn er allerdings nicht mal weiss was nen Exploit ist, kannst du davon ausgehen, das er auf jedenfall nicht das Zeug hat um nen Server zu hacken.