ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Hacker greifen ungepachte PHP-Sites an

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=36&t=20057

Seite 1 von 2

Hacker greifen ungepachte PHP-Sites an

Verfasst: 07.11.2005, 22:36
von viggen
Hacker greifen Sites an, die auf der Skriptsprache PHP (Hypertext Preprocessor) basieren und eine bestimmte PHP-Sicherheitslücke nicht geschlossen haben. Das teilte das Internet Storm Center (ISC) mit. Gefährdet sind Blogging-Dienste, Programme für das Content Management und Wikis - unter anderem Drupal, phpAdsNew, phpWiki, PostNuke, Serendipity und WordPress.

mehr dazu bei Silicon.de

Verfasst:
von
Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:
  • einzigartige Texte
  • suchmaschinenoptimierte Inhalte
  • eine sinnvolle Content-Strategie
  • Beratung und Umsetzung
Jetzt anfragen: 0511 / 300325-0

Hacker greifen ungepachte PHP-Sites an

Verfasst: 07.11.2005, 22:54
von Christophe
Ich habe heute meine mod_rewrite-Regeln etwas verallgemeinert. Ich bin ganz erfreut, auch in diesem Beispiel hätten sie geholfen.

Code: Alles auswählen

RewriteCond %{QUERY_STRING} .*'.* [OR]
RewriteCond %{QUERY_STRING} .*\%27.* [OR]
RewriteCond %{QUERY_STRING} .*".* [OR]
RewriteCond %{QUERY_STRING} .*\%22.* [OR]
RewriteCond %{QUERY_STRING} .*`.* [OR]
RewriteCond %{QUERY_STRING} .*\%60.* [OR]
RewriteCond %{QUERY_STRING} .*\%25.* [OR]
RewriteCond %{QUERY_STRING} .*echr.* [OR]
RewriteCond %{QUERY_STRING} .*esystem.* [OR]
RewriteCond %{QUERY_STRING} .*passthru.* [OR]
RewriteCond %{QUERY_STRING} .*wget.*
RewriteRule .* - [F,L]
Rückmeldungen und Kommentare sind erwünscht.

Verfasst: 07.11.2005, 23:09
von tauchvideo
Hardcore :wink:

Code: Alles auswählen

RewriteCond %{QUERY_STRING} .*\%20.* [NC]
RewriteRule .* - [F,L]

Dennis

Verfasst:
von

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 00:45
von fairsand
Was heißt das für dumme? bzw. was verhindert man damit?

Gruß

Peter

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 01:11
von Bauchladen
Die Sites in der 'Regel' bekommen n 403 (Forbidden). D. h. die bekommen i. d. R. eine weisse Seite im Browser mit einer freundlichen aber deutlichen Abweisung.

Und nu der Besserwisser des Tages
Wenn man diese 'Indianernetze' gänzlich ausschliessen will von seinem Servervekehr dann sollte man aber statt in der .htaccess Datei (die der Apache sehr oft liest) die Beschränkungen zu regeln die Arbeit einem Filter auf IP Ebene (z. B. unter U/Mi/Lin/Taug*nix/BSE/Slowlaris iptables/ipchains oder der Windows Firewall) überlassen.

Gruss

Bauchladen

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 09:51
von Christophe
fairsand: Die Regeln sollen Angriffe über Sicherheitslücken in PHP-Skripten verhindern. Durch das Ausschließen bestimmter Wörter und Zeichen erschwert man solche Angriffe deutlich.

Bauchladen: Hier werden keine Netze geblockt, sondern bestimmte Anfragen. Das ist auf IP-Ebene nicht möglich. Ich habe diese Regeln in meiner apache-config zu stehen, die wird nur einmal geladen. Evtl sollte man das mit mod_security machen.

Besucher sollten diese Regeln nicht betreffen.

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 10:02
von Bauchladen
@Christophe: Jub, jetzt seh ich es

Code: Alles auswählen

%{QUERY_STRING}
..war wohl doch schon zu spät ;)

Verfasst: 08.11.2005, 14:05
von The-Plaqe
als antihacker.php speichern und per include einbinden

wer evtl. noch nicht hat *g*

Code: Alles auswählen

<?php

  $cracktrack = $_SERVER&#91;'QUERY_STRING'&#93;;
  $wormprotector = array&#40;'.system','HTTP_PHP','&aim','getenv%20','new_password','&icq','/etc/password','/etc/shadow','/etc/groups','/etc/gshadow','HTTP_USER_AGENT','HTTP_HOST','/bin/ps','wget%20','uname\x20-a','/usr/bin/id','/bin/echo','/bin/kill','/bin/','/chgrp','/chown','/usr/bin','g\+\+','bin/python','bin/tclsh','bin/nasm','perl%20','traceroute%20','ping%20','.pl','/usr/X11R6/bin/xterm','lsof%20','/bin/mail','.conf','motd%20','HTTP/1.','.inc.php','config.php','cgi-','.eml','file\&#58;//','window.open','<SCRIPT>','javascript\&#58;//','img src','img%20src','.jsp','ftp.exe','xp_enumdsn','xp_availablemedia','xp_filelist','xp_cmdshell','nc.exe','.htpasswd','servlet','/etc/passwd','wwwacl','~root','~ftp','.js','.jsp','admin_','.history','bash_history','.bash_history','~nobody','server-info','server-status','reboot%20','halt%20','powerdown%20','/home/ftp','/home/www','secure_site, ok','chunked','org.apache','/servlet/con','<script','/robot.txt','/perl','mod_gzip_status','db_mysql.inc','.inc', 'select%20from', 'select from', 'drop%20'&#41;;

  if &#40;$cracktrack != $checkworm&#41;
    &#123;
      $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
      $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;

      die&#40; "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert&#58;</b><br />$cuseragent" &#41;;
    &#125;

?>

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 15:12
von Garfield
@The-Plaqe:

Danke, aber hast du dich hier nicht vertan :

if ($cracktrack != $checkworm)

?

Vorher steht gar nix von $checkworm, sondern nur von $wormprotector.

Verfasst: 08.11.2005, 15:31
von The-Plaqe
hoffe jetzt ist nicht's mehr vergessen

Code: Alles auswählen

<?php



  $cracktrack = $_SERVER&#91;'QUERY_STRING'&#93;;
  $wormprotector = array&#40;'.system','HTTP_PHP','&aim','getenv%20','new_password','&icq','/etc/password','/etc/shadow','/etc/groups','/etc/gshadow','HTTP_USER_AGENT','HTTP_HOST','/bin/ps','wget%20','uname\x20-a','/usr/bin/id','/bin/echo','/bin/kill','/bin/','/chgrp','/chown','/usr/bin','g\+\+','bin/python','bin/tclsh','bin/nasm','perl%20','traceroute%20','ping%20','.pl','/usr/X11R6/bin/xterm','lsof%20','/bin/mail','.conf','motd%20','HTTP/1.','.inc.php','config.php','cgi-','.eml','file\&#58;//','window.open','<SCRIPT>','javascript\&#58;//','img src','img%20src','.jsp','ftp.exe','xp_enumdsn','xp_availablemedia','xp_filelist','xp_cmdshell','nc.exe','.htpasswd','servlet','/etc/passwd','wwwacl','~root','~ftp','.js','.jsp','admin_','.history','bash_history','.bash_history','~nobody','server-info','server-status','reboot%20','halt%20','powerdown%20','/home/ftp','/home/www','secure_site, ok','chunked','org.apache','/servlet/con','<script','/robot.txt','/perl','mod_gzip_status','db_mysql.inc','.inc', 'select%20from', 'select from', 'drop%20'&#41;; 
  $checkworm = str_replace&#40;$wormprotector, '*', $cracktrack&#41;;

  if &#40;$cracktrack != $checkworm&#41;
    &#123;
      $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
      $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;

      die&#40; "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert&#58;</b><br />$cuseragent" &#41;;
    &#125;


?>

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 15:36
von Chris2005
In welche Datei muss man das "includen"? header.php?

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 15:38
von The-Plaqe
am besten in ne datei die in alle scripte ist ... also meistens header ... :D

testen kannst dass dann mal direkt per URL z.b

https://www.deineurl.de/index.php?.system

z.B. obs auch funzt - sag ma bescheid denne

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 15:40
von Chris2005
@The-Plaqe: Danke fuer die Info. Werde ich mal testen. Ich hatte letztens einen Angriff mit "hack" in der URL. Evtl. kann man das noch hinzufuegen.

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 15:42
von Garfield
Es sorgte grade eben in meinem Test-phpbb dafür, daß man keine Threads mehr aufrufen konnte - schade.

Hacker greifen ungepachte PHP-Sites an

Verfasst: 08.11.2005, 15:44
von The-Plaqe
jo kann man natürlich beliebig weiter aufstocken das script

siehste ja wie das array aufgebaut ist 'angriffsys1', 'angriffsys2', 'angriffsys3', u.s.w.
Alle Zeiten sind UTC+01:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de