crisp Posted February 5, 2012 Report Share Posted February 5, 2012 Taatad nesen man atsleedzaas viss serveris uz nakti, rakstiiju provaiderim, tie vnk parestarteeja un viss ok. Tad peec kaada laika vinji man raksta, ka serveris ir uzlauzsts, jo caur manu kasti tiek zagti kkadi bankofamerica.com dati, princips taads, ka vinji suutija spamu ar linku manalapa.lv/bankofamerica/skripts.php taas lietotaajiem vinji tur autorizeejaas un tie dati aizsuutijaas uz mistisku e-pastu. Saakumaa atradu kkaadus mistiskus failus locus.php, syr.php lietotaaju bilzhu upload folderii, caur tiem failiem var izloznjaat visu webserveri un palaist visaadas komandas kkaads hakeru skripts... Taalaak meigjinaaju izdomaat kaa tie php faili vispaar tur nokljuva, jo tiek "ielaisti" tikai bilzhu faili, vnk paarbaudot bildes ext. un atklaaju ka tajaa folderii ir arii bildes.jpg, kur nav nevis bildei raksturiigie kjeburi, kad atver ar notepad2, bet visaadi mistiski skripti. Pats meigjinaaju failus palaist caur savu lokalo webserveri, bet neko vairaak par bildi nevar atteelot utt nedabuju aaraa, taapeec es nesaprotu, kaa kaads to ir izdariijis? Un kaa vislabaak paarbaudiit, lai zin, ka taa patieshaam ir bilde?? Piemeeram shii arii bilde , bet reaali tur ir arii php kods pasleepts... Varbuut kaadam ir gadijies liidziigi padalieties pieredzee? Pielikumaa pievienoju tos skriptus ar kuriem ir lozhnaats par manu kasti... un failu mentos.php, kas sanjeema tos phishing datus un aizsuutiija uz e-pastu. syr.php locus.php mentos.php Quote Link to comment Share on other sites More sharing options...
vincister Posted February 5, 2012 Report Share Posted February 5, 2012 (edited) Pārbaudīt vairāk kā tikai faila paplašinājumu un neļaut izpildīt failus no upload direktorijas. http://corpocrat.com...-upload-in-php/ Edited February 5, 2012 by vincister Quote Link to comment Share on other sites More sharing options...
briedis Posted February 5, 2012 Report Share Posted February 5, 2012 Vēl jau var būt, ka ir vienkārši noplūdusi FTP parole, vai kādai lapai uz servera (wordpress, etc.) nebija nomainītas defaultās paroles, vai ir kāda cita populāra ievainojamība, kas ļava ļaunadrim pieslēgties un caur kādu admin paneli ielādēt kādu failu. Veidu ir padaudz, vajadzētu sākt ar to, ka tiek noskaidrots, kas tieši tiek uz tā servera glabāts, un kam varētu būt tā ievainojamība... Quote Link to comment Share on other sites More sharing options...
Aleksejs Posted February 5, 2012 Report Share Posted February 5, 2012 Uzraksti savu bēdu stāstu ļaužiem uz cert@cert.lv . Par to, kā attēls var saturēt izpildāmu kodu var izlasīt te: http://www.scanit.be/uploads/php-file-upload.pdf Quote Link to comment Share on other sites More sharing options...
crisp Posted February 5, 2012 Author Report Share Posted February 5, 2012 Un ja man stāvēja 777 atļauja, tad vai ir iespējams ielādēt tur failus kā savādāk(perl?) nevis tikai caur profila bilžu ielādes skriptu, es tagad īsti nesaprotu? Ja nē, tad lai ielādētu bildi lietotājam vajag būt sistēmā. Tad sanāk ka viņš ir reģistrējies. Quote Link to comment Share on other sites More sharing options...
marrtins Posted February 5, 2012 Report Share Posted February 5, 2012 90%, ka caurumains wordpess bilžu plugins. Quote Link to comment Share on other sites More sharing options...
crisp Posted February 5, 2012 Author Report Share Posted February 5, 2012 Tas nav wordpress, bet manis veidota lapa... Quote Link to comment Share on other sites More sharing options...
briedis Posted February 5, 2012 Report Share Posted February 5, 2012 Vai admin panelim ir tipiska adrese kā admin.php, admin/ utt? Vai notiek pareiza izsargāšanās no sql injekcijām? Vai netaisī kaut kur šitādu joku - include 'failu/' . $_GET[.. Vai kārtīgi pārbaudi failus, kas tiek augšuplādēti? Quote Link to comment Share on other sites More sharing options...
crisp Posted February 5, 2012 Author Report Share Posted February 5, 2012 Vai admin panelim ir tipiska adrese kā admin.php, admin/ utt? lapa.lv/admin, kautgan es šaubos vai tas ko maina. Vai notiek pareiza izsargāšanās no sql injekcijām? jāāāā Vai netaisī kaut kur šitādu joku - include 'failu/' . $_GET[.. nē Vai kārtīgi pārbaudi failus, kas tiek augšuplādēti? Augšā jau rakstīju, ka pārbaudīts tika tikai faila paplašinājums un, manuprāt, tur arī ir problēma. Quote Link to comment Share on other sites More sharing options...
briedis Posted February 5, 2012 Report Share Posted February 5, 2012 Principā ar faila paplašinājumu nevajadzētu pietikt kaut ko salauzt, jo tu nevari izpildīt failus uz servera, kam nav izpildāms paplašinājums. Vai paplašinājumu pārbaude notika pēc black-list vai white-list principā? Varbūt tu varētu parādīt kādu koda gabalu, lai varam pačekot, vai ir kāda acīmredzama kļūda...? Quote Link to comment Share on other sites More sharing options...
Mr.Key Posted February 5, 2012 Report Share Posted February 5, 2012 Nav liela iespēja, bet arī pašam PHP ir caurumi, piemēram, šis te: http://www.google.lv/search?q=php+CVE-2012-0830 Quote Link to comment Share on other sites More sharing options...
crisp Posted February 5, 2012 Author Report Share Posted February 5, 2012 (edited) http://paste.php.lv/...a047f9?lang=php Un Mr.Key tur rakstiits : Last week a critical bug was discovered in PHP. Which affects versions 5.3.9 and 5.2.17 , bet man ir 5.2.10 ? Edited February 5, 2012 by crisp Quote Link to comment Share on other sites More sharing options...
briedis Posted February 5, 2012 Report Share Posted February 5, 2012 Uzmetu aci, vēl viens ieteikums. $thumb = PhpThumbFactory::create("$lapas_path/uploads/lietotaajs/real/" . $filename . "$ext"); Vajadzētu pārbaudīt, vai netiek izmests errors, ja nu gadījumā šis nav attēls (bet ir attēla paplašinājums). Tādējādi nevarētu tikt ielādēta bilde, kas nav bilde. Protams, ja ir kļūda izveidot attēla objektu, IELĀDĒTO FAILU VAJADZĒTU IZDZĒST, nevis atstāt lietotāja mapē. Pa manam, šeit kodā nav nekādas lielas ievainojamības neskaitot to, ka var ielādēt jebkādu failu ar attēlu paplašinājumu. Quote Link to comment Share on other sites More sharing options...
crisp Posted February 5, 2012 Author Report Share Posted February 5, 2012 Skaidriite tagad skatos un domaaju, ka tas tieshaam vareetu buut tas critical bugs, daargie lietotaaji kaa lai linux ubuntu videe updeito php versiiju? un Briedi paldies par ieteikumu njemshu veeraa :) Quote Link to comment Share on other sites More sharing options...
codez Posted February 5, 2012 Report Share Posted February 5, 2012 Paskaties kaut kādus log failus, kas un kurā brīdi ko darījis. Es gan liktu vairāk uz to, ka kaut kādā veidā nosperta ftp parole - ar kādu spieg aprogrammu uz kompja, vai ko līdzīgu. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.