Frage zu include, externen seiten und sicherheit.

Bash, Shell, PHP, Python, Perl, CGI
flofri
Posts: 67
Joined: 2003-03-28 09:24

Frage zu include, externen seiten und sicherheit.

Post by flofri »

Hi!
Mein Server wurde gestern gehackt (rootkit). Allerdings konnte ich den Hacker stellen und er gab mir die Infos, wie er es geschafft hatte in den Server zu kommen.

Allerdings werde ich aus der Info nicht so ganz schlau.

Es geht um diesen Link:

"http://www.kitchenhost.de/index.php?go= ... &cmd=uname -a\"

Ich weis nur, das das, was in der Variable go steht inkludiert wird. Es muss also was damit zu tun haben, das etwas von extern inkludiert wird, was dann ermöglicht den command aufzurufen.

Kann mir jemand eventuel erklären, worin jetzt diese Sicherheitslücke besteht und wie man die GLOBAL entfernen kann, also nicht nur auf dieser einen Seite.
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36

Re: Frage zu include, externen seiten und sicherheit.

Post by theomega »

hier müßte imho SafeMode helfen, weil man dann doch nichtmehr extrene Dateien includen kann oder?
ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: Frage zu include, externen seiten und sicherheit.

Post by ffl »

Das Skript muss entsprechend umprogrammiert werden.

Auch sehr lustig: http://www.kitchenhost.de/index.php?go= ... rosoft.com
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36

Re: Frage zu include, externen seiten und sicherheit.

Post by theomega »

ähm, komisch, das geht selbst mit Safemode an!
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Ich könnte das Script ändern, das Problem ist nur, das das auch ein Kunde bei mir so scripten kann und hat dann die Kontrolle über meinen Server (wie der hacker auch).

Es muss doch einen weg geben zu verhindern, das man commands mit dieser includierten Datei ausführen kann.
oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Frage zu include, externen seiten und sicherheit.

Post by oxygen »

Ja Socket Support abschalten.
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Habe den Socket Support abgeschaltet, aber kein unterschied.
oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Frage zu include, externen seiten und sicherheit.

Post by oxygen »

Sicher? Ohne Socket Support funktioniert include(http://...); nicht. Wenn du PHP nicht neukompilieren willst um den Socket Support abzuschalten, kannst du auch allow_url_fopen in Der php.ini abschalten.
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Ok, habe jetzt den benutzten Exploit gefunden, hier der code der cmd.txt:

Code: Select all

snip
Aber macht damit bitte keinen Mist mit meinem Web-Server, ich hatte da schon genug Probleme und ich finde euch :wink:

Ich frage mich nur, wie das rootkit an die root-rechte gekommen ist, da alle commands nur mit dem user www ausgeführt werden können.
User avatar
Joe User
Project Manager
Project Manager
Posts: 11174
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu include, externen seiten und sicherheit.

Post by Joe User »

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
User avatar
Joe User
Project Manager
Project Manager
Posts: 11174
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu include, externen seiten und sicherheit.

Post by Joe User »

FloFri wrote:Ok, habe jetzt den benutzten Exploit gefunden, hier der code der cmd.txt:
Anstiftung zu einer Straftat? Code entsorgt! *PLONK*
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Sorry, der code war nur zu analysezwecken, hätte ja sein können, das da jemand draus schlau wird und sagen kann, wie man sich da schützen kann.
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

So, ich habe jetzt mal das Script ausbessern lassen und einige system-commands wie system(), exec(), ... deaktiviert.

Dazu aber noch 2 Fragen:

1. Welche Commands wird den im allgemeinen empfohlen als Provider zu deaktivieren. Also eben Sachen wie: system(), exec(), popen(), ...

2. Hat jemand eine Vermutung oder eben Wissen, wie es ein Hacker per System() schafft, aus dem User www "auszubrechen" und sich Rechte anzueignen, die dann zum beispiel Befehle wie /bin/login überschreiben können, oder Benutzer und Gruppen anlegen (war bei mir der Fall, es gab einen neuen Benutzer, eine neue Gruppe und mehrere Dateien, wo nur root schreibrechte hat waren ersetzt worden).

Sollte jemand sehr detailierte Infos darüber haben, so möchte ich denjenigen bitten, diese mir per PM zu schicken und nicht zu Posten. Denn, wie Joe schon gesagt hat: Wir wollen keinen zu einer Straftat anstiften.


MfG

Florian Friedrich
Kitchenhost Webhosting
oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Frage zu include, externen seiten und sicherheit.

Post by oxygen »

FloFri wrote: 2. Hat jemand eine Vermutung oder eben Wissen, wie es ein Hacker per System() schafft, aus dem User www "auszubrechen" und sich Rechte anzueignen, die dann zum beispiel Befehle wie /bin/login überschreiben können, oder Benutzer und Gruppen anlegen (war bei mir der Fall, es gab einen neuen Benutzer, eine neue Gruppe und mehrere Dateien, wo nur root schreibrechte hat waren ersetzt worden).
z.B: ptrace() oder do_brk(), was auf einem geflegten System nicht möglich gewesen wäre.
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Könntest du mir dazu mehr infos geben? Was ist das genau und wie kann ich mich da absichern? (Bin ja hier um mein System richtig pflegen zu können ;) )
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu include, externen seiten und sicherheit.

Post by captaincrunch »

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Danke, ich werde das mal verinerlichen :)
steffz
Posts: 84
Joined: 2003-04-13 13:07
Location: Hamburg

Re: Frage zu include, externen seiten und sicherheit.

Post by steffz »

Vernichten ist besser, und zwar allow_url_fopen. Wenn diese Option deaktiviert ist, können keine externen Quellen mehr via include() eingefügt werden.
flofri
Posts: 67
Joined: 2003-03-28 09:24

Re: Frage zu include, externen seiten und sicherheit.

Post by flofri »

Naja, dann können ja immer noch kunden per system() oder ähnlichem "einbrechen", daher habe ich erstmal die commands ausgebaut.
steffz
Posts: 84
Joined: 2003-04-13 13:07
Location: Hamburg

Re: Frage zu include, externen seiten und sicherheit.

Post by steffz »

Mit aktiviertem Safe Mode dürfen ohnehin nur Systemkommandos ausgeführt werden, die im safe_mode_exec_dir liegen.