Hacker greifen ungepachte PHP-Sites an

Beitrag von **viggen** » 07.11.2005, 22:36

Hacker greifen Sites an, die auf der Skriptsprache PHP (Hypertext Preprocessor) basieren und eine bestimmte PHP-Sicherheitslücke nicht geschlossen haben. Das teilte das Internet Storm Center (ISC) mit. Gefährdet sind Blogging-Dienste, Programme für das Content Management und Wikis - unter anderem Drupal, phpAdsNew, phpWiki, PostNuke, Serendipity und WordPress.

mehr dazu bei Silicon.de

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **Christophe** » 07.11.2005, 22:54

Ich habe heute meine mod_rewrite-Regeln etwas verallgemeinert. Ich bin ganz erfreut, auch in diesem Beispiel hätten sie geholfen.

Code: Alles auswählen

RewriteCond %&#123;QUERY_STRING&#125; .*'.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*\%27.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*".* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*\%22.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*`.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*\%60.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*\%25.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*echr.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*esystem.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*passthru.* &#91;OR&#93;
RewriteCond %&#123;QUERY_STRING&#125; .*wget.*
RewriteRule .* - &#91;F,L&#93;

Rückmeldungen und Kommentare sind erwünscht.

Beitrag von **tauchvideo** » 07.11.2005, 23:09

Hardcore

Code: Alles auswählen

RewriteCond %&#123;QUERY_STRING&#125; .*\%20.* &#91;NC&#93;
RewriteRule .* - &#91;F,L&#93;

Dennis

von **Anzeige von ABAKUS** »

Beitrag von **fairsand** » 08.11.2005, 00:45

Was heißt das für dumme? bzw. was verhindert man damit?

Gruß

Peter

Beitrag von **Bauchladen** » 08.11.2005, 01:11

Die Sites in der 'Regel' bekommen n 403 (Forbidden). D. h. die bekommen i. d. R. eine weisse Seite im Browser mit einer freundlichen aber deutlichen Abweisung.

Und nu der Besserwisser des Tages
Wenn man diese 'Indianernetze' gänzlich ausschliessen will von seinem Servervekehr dann sollte man aber statt in der .htaccess Datei (die der Apache sehr oft liest) die Beschränkungen zu regeln die Arbeit einem Filter auf IP Ebene (z. B. unter U/Mi/Lin/Taug*nix/BSE/Slowlaris iptables/ipchains oder der Windows Firewall) überlassen.

Gruss

Bauchladen

Beitrag von **Christophe** » 08.11.2005, 09:51

fairsand: Die Regeln sollen Angriffe über Sicherheitslücken in PHP-Skripten verhindern. Durch das Ausschließen bestimmter Wörter und Zeichen erschwert man solche Angriffe deutlich.

Bauchladen: Hier werden keine Netze geblockt, sondern bestimmte Anfragen. Das ist auf IP-Ebene nicht möglich. Ich habe diese Regeln in meiner apache-config zu stehen, die wird nur einmal geladen. Evtl sollte man das mit mod_security machen.

Besucher sollten diese Regeln nicht betreffen.

Beitrag von **Bauchladen** » 08.11.2005, 10:02

@Christophe: Jub, jetzt seh ich es

Code: Alles auswählen

%&#123;QUERY_STRING&#125;

..war wohl doch schon zu spät

Beitrag von **The-Plaqe** » 08.11.2005, 14:05

als antihacker.php speichern und per include einbinden

wer evtl. noch nicht hat *g*

Code: Alles auswählen

<?php

  $cracktrack = $_SERVER&#91;'QUERY_STRING'&#93;;
  $wormprotector = array&#40;'.system','HTTP_PHP','&aim','getenv%20','new_password','&icq','/etc/password','/etc/shadow','/etc/groups','/etc/gshadow','HTTP_USER_AGENT','HTTP_HOST','/bin/ps','wget%20','uname\x20-a','/usr/bin/id','/bin/echo','/bin/kill','/bin/','/chgrp','/chown','/usr/bin','g\+\+','bin/python','bin/tclsh','bin/nasm','perl%20','traceroute%20','ping%20','.pl','/usr/X11R6/bin/xterm','lsof%20','/bin/mail','.conf','motd%20','HTTP/1.','.inc.php','config.php','cgi-','.eml','file\&#58;//','window.open','<SCRIPT>','javascript\&#58;//','img src','img%20src','.jsp','ftp.exe','xp_enumdsn','xp_availablemedia','xp_filelist','xp_cmdshell','nc.exe','.htpasswd','servlet','/etc/passwd','wwwacl','~root','~ftp','.js','.jsp','admin_','.history','bash_history','.bash_history','~nobody','server-info','server-status','reboot%20','halt%20','powerdown%20','/home/ftp','/home/www','secure_site, ok','chunked','org.apache','/servlet/con','<script','/robot.txt','/perl','mod_gzip_status','db_mysql.inc','.inc', 'select%20from', 'select from', 'drop%20'&#41;;

  if &#40;$cracktrack != $checkworm&#41;
    &#123;
      $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
      $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;

      die&#40; "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert&#58;</b><br />$cuseragent" &#41;;
    &#125;

?>

Beitrag von **Garfield** » 08.11.2005, 15:12

@The-Plaqe:

Danke, aber hast du dich hier nicht vertan :

if ($cracktrack != $checkworm)

?

Vorher steht gar nix von $checkworm, sondern nur von $wormprotector.

Beitrag von **The-Plaqe** » 08.11.2005, 15:31

hoffe jetzt ist nicht's mehr vergessen

Code: Alles auswählen

<?php



  $cracktrack = $_SERVER&#91;'QUERY_STRING'&#93;;
  $wormprotector = array&#40;'.system','HTTP_PHP','&aim','getenv%20','new_password','&icq','/etc/password','/etc/shadow','/etc/groups','/etc/gshadow','HTTP_USER_AGENT','HTTP_HOST','/bin/ps','wget%20','uname\x20-a','/usr/bin/id','/bin/echo','/bin/kill','/bin/','/chgrp','/chown','/usr/bin','g\+\+','bin/python','bin/tclsh','bin/nasm','perl%20','traceroute%20','ping%20','.pl','/usr/X11R6/bin/xterm','lsof%20','/bin/mail','.conf','motd%20','HTTP/1.','.inc.php','config.php','cgi-','.eml','file\&#58;//','window.open','<SCRIPT>','javascript\&#58;//','img src','img%20src','.jsp','ftp.exe','xp_enumdsn','xp_availablemedia','xp_filelist','xp_cmdshell','nc.exe','.htpasswd','servlet','/etc/passwd','wwwacl','~root','~ftp','.js','.jsp','admin_','.history','bash_history','.bash_history','~nobody','server-info','server-status','reboot%20','halt%20','powerdown%20','/home/ftp','/home/www','secure_site, ok','chunked','org.apache','/servlet/con','<script','/robot.txt','/perl','mod_gzip_status','db_mysql.inc','.inc', 'select%20from', 'select from', 'drop%20'&#41;; 
  $checkworm = str_replace&#40;$wormprotector, '*', $cracktrack&#41;;

  if &#40;$cracktrack != $checkworm&#41;
    &#123;
      $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
      $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;

      die&#40; "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert&#58;</b><br />$cuseragent" &#41;;
    &#125;


?>

Beitrag von **Chris2005** » 08.11.2005, 15:36

In welche Datei muss man das "includen"? header.php?

Beitrag von **The-Plaqe** » 08.11.2005, 15:38

am besten in ne datei die in alle scripte ist ... also meistens header ...

testen kannst dass dann mal direkt per URL z.b

https://www.deineurl.de/index.php?.system

z.B. obs auch funzt - sag ma bescheid denne

Beitrag von **Chris2005** » 08.11.2005, 15:40

@The-Plaqe: Danke fuer die Info. Werde ich mal testen. Ich hatte letztens einen Angriff mit "hack" in der URL. Evtl. kann man das noch hinzufuegen.

Beitrag von **Garfield** » 08.11.2005, 15:42

Es sorgte grade eben in meinem Test-phpbb dafür, daß man keine Threads mehr aufrufen konnte - schade.

Beitrag von **The-Plaqe** » 08.11.2005, 15:44

jo kann man natürlich beliebig weiter aufstocken das script

siehste ja wie das array aufgebaut ist 'angriffsys1', 'angriffsys2', 'angriffsys3', u.s.w.