Jump to content
php.lv forumi

Servera uzlaušana


crisp

Recommended Posts

Taatad nesen man atsleedzaas viss serveris uz nakti, rakstiiju provaiderim, tie vnk parestarteeja un viss ok. Tad peec kaada laika vinji man raksta, ka serveris ir uzlauzsts, jo caur manu kasti tiek zagti kkadi bankofamerica.com dati, princips taads, ka vinji suutija spamu ar linku manalapa.lv/bankofamerica/skripts.php taas lietotaajiem vinji tur autorizeejaas un tie dati aizsuutijaas uz mistisku e-pastu. Saakumaa atradu kkaadus mistiskus failus locus.php, syr.php lietotaaju bilzhu upload folderii, caur tiem failiem var izloznjaat visu webserveri un palaist visaadas komandas kkaads hakeru skripts...

Taalaak meigjinaaju izdomaat kaa tie php faili vispaar tur nokljuva, jo tiek "ielaisti" tikai bilzhu faili, vnk paarbaudot bildes ext. un atklaaju ka tajaa folderii ir arii bildes.jpg, kur nav nevis bildei raksturiigie kjeburi, kad atver ar notepad2, bet visaadi mistiski skripti. Pats meigjinaaju failus palaist caur savu lokalo webserveri, bet neko vairaak par bildi nevar atteelot utt nedabuju aaraa, taapeec es nesaprotu, kaa kaads to ir izdariijis? Un kaa vislabaak paarbaudiit, lai zin, ka taa patieshaam ir bilde?? Piemeeram shii arii bilde

picodes.jpg , bet reaali tur ir arii php kods pasleepts...

 

Varbuut kaadam ir gadijies liidziigi padalieties pieredzee?

 

Pielikumaa pievienoju tos skriptus ar kuriem ir lozhnaats par manu kasti... un failu mentos.php, kas sanjeema tos phishing datus un aizsuutiija uz e-pastu.

syr.php

locus.php

mentos.php

Link to comment
Share on other sites

Vēl jau var būt, ka ir vienkārši noplūdusi FTP parole, vai kādai lapai uz servera (wordpress, etc.) nebija nomainītas defaultās paroles, vai ir kāda cita populāra ievainojamība, kas ļava ļaunadrim pieslēgties un caur kādu admin paneli ielādēt kādu failu.

 

Veidu ir padaudz, vajadzētu sākt ar to, ka tiek noskaidrots, kas tieši tiek uz tā servera glabāts, un kam varētu būt tā ievainojamība...

Link to comment
Share on other sites

Un ja man stāvēja 777 atļauja, tad vai ir iespējams ielādēt tur failus kā savādāk(perl?) nevis tikai caur profila bilžu ielādes skriptu, es tagad īsti nesaprotu?

Ja nē, tad lai ielādētu bildi lietotājam vajag būt sistēmā. Tad sanāk ka viņš ir reģistrējies.

Link to comment
Share on other sites

Vai admin panelim ir tipiska adrese kā admin.php, admin/ utt? lapa.lv/admin, kautgan es šaubos vai tas ko maina.

Vai notiek pareiza izsargāšanās no sql injekcijām? jāāāā

Vai netaisī kaut kur šitādu joku - include 'failu/' . $_GET[..

Vai kārtīgi pārbaudi failus, kas tiek augšuplādēti? Augšā jau rakstīju, ka pārbaudīts tika tikai faila paplašinājums un, manuprāt, tur arī ir problēma.

Link to comment
Share on other sites

Principā ar faila paplašinājumu nevajadzētu pietikt kaut ko salauzt, jo tu nevari izpildīt failus uz servera, kam nav izpildāms paplašinājums.

 

Vai paplašinājumu pārbaude notika pēc black-list vai white-list principā?

 

Varbūt tu varētu parādīt kādu koda gabalu, lai varam pačekot, vai ir kāda acīmredzama kļūda...?

Link to comment
Share on other sites

Uzmetu aci, vēl viens ieteikums.

 

$thumb = PhpThumbFactory::create("$lapas_path/uploads/lietotaajs/real/" . $filename . "$ext");

 

Vajadzētu pārbaudīt, vai netiek izmests errors, ja nu gadījumā šis nav attēls (bet ir attēla paplašinājums). Tādējādi nevarētu tikt ielādēta bilde, kas nav bilde.

 

Protams, ja ir kļūda izveidot attēla objektu, IELĀDĒTO FAILU VAJADZĒTU IZDZĒST, nevis atstāt lietotāja mapē.

 

Pa manam, šeit kodā nav nekādas lielas ievainojamības neskaitot to, ka var ielādēt jebkādu failu ar attēlu paplašinājumu.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...