Servera uzlaušana

[crisp]

Taatad nesen man atsleedzaas viss serveris uz nakti, rakstiiju provaiderim, tie vnk parestarteeja un viss ok. Tad peec kaada laika vinji man raksta, ka serveris ir uzlauzsts, jo caur manu kasti tiek zagti kkadi bankofamerica.com dati, princips taads, ka vinji suutija spamu ar linku manalapa.lv/bankofamerica/skripts.php taas lietotaajiem vinji tur autorizeejaas un tie dati aizsuutijaas uz mistisku e-pastu. Saakumaa atradu kkaadus mistiskus failus locus.php, syr.php lietotaaju bilzhu upload folderii, caur tiem failiem var izloznjaat visu webserveri un palaist visaadas komandas kkaads hakeru skripts...

Taalaak meigjinaaju izdomaat kaa tie php faili vispaar tur nokljuva, jo tiek "ielaisti" tikai bilzhu faili, vnk paarbaudot bildes ext. un atklaaju ka tajaa folderii ir arii bildes.jpg, kur nav nevis bildei raksturiigie kjeburi, kad atver ar notepad2, bet visaadi mistiski skripti. Pats meigjinaaju failus palaist caur savu lokalo webserveri, bet neko vairaak par bildi nevar atteelot utt nedabuju aaraa, taapeec es nesaprotu, kaa kaads to ir izdariijis? Un kaa vislabaak paarbaudiit, lai zin, ka taa patieshaam ir bilde?? Piemeeram shii arii bilde

, bet reaali tur ir arii php kods pasleepts...

 

Varbuut kaadam ir gadijies liidziigi padalieties pieredzee?

 

Pielikumaa pievienoju tos skriptus ar kuriem ir lozhnaats par manu kasti... un failu mentos.php, kas sanjeema tos phishing datus un aizsuutiija uz e-pastu.

syr.php

locus.php

mentos.php

[vincister]

Pārbaudīt vairāk kā tikai faila paplašinājumu un neļaut izpildīt failus no upload direktorijas.

http://corpocrat.com...-upload-in-php/

Edited February 5, 2012 by vincister

[briedis]

Vēl jau var būt, ka ir vienkārši noplūdusi FTP parole, vai kādai lapai uz servera (wordpress, etc.) nebija nomainītas defaultās paroles, vai ir kāda cita populāra ievainojamība, kas ļava ļaunadrim pieslēgties un caur kādu admin paneli ielādēt kādu failu.

 

Veidu ir padaudz, vajadzētu sākt ar to, ka tiek noskaidrots, kas tieši tiek uz tā servera glabāts, un kam varētu būt tā ievainojamība...

[Aleksejs]

Uzraksti savu bēdu stāstu ļaužiem uz [email protected] . Par to, kā attēls var saturēt izpildāmu kodu var izlasīt te:

http://www.scanit.be/uploads/php-file-upload.pdf

[crisp]

Un ja man stāvēja 777 atļauja, tad vai ir iespējams ielādēt tur failus kā savādāk(perl?) nevis tikai caur profila bilžu ielādes skriptu, es tagad īsti nesaprotu?

Ja nē, tad lai ielādētu bildi lietotājam vajag būt sistēmā. Tad sanāk ka viņš ir reģistrējies.

[marrtins]

90%, ka caurumains wordpess bilžu plugins.

[crisp]

Tas nav wordpress, bet manis veidota lapa...

[briedis]

Vai admin panelim ir tipiska adrese kā admin.php, admin/ utt?

Vai notiek pareiza izsargāšanās no sql injekcijām?

Vai netaisī kaut kur šitādu joku - include 'failu/' . $_GET[..

Vai kārtīgi pārbaudi failus, kas tiek augšuplādēti?

[crisp]

Vai admin panelim ir tipiska adrese kā admin.php, admin/ utt? lapa.lv/admin, kautgan es šaubos vai tas ko maina.

Vai notiek pareiza izsargāšanās no sql injekcijām? jāāāā

Vai netaisī kaut kur šitādu joku - include 'failu/' . $_GET[.. nē

Vai kārtīgi pārbaudi failus, kas tiek augšuplādēti? Augšā jau rakstīju, ka pārbaudīts tika tikai faila paplašinājums un, manuprāt, tur arī ir problēma.

[briedis]

Principā ar faila paplašinājumu nevajadzētu pietikt kaut ko salauzt, jo tu nevari izpildīt failus uz servera, kam nav izpildāms paplašinājums.

 

Vai paplašinājumu pārbaude notika pēc black-list vai white-list principā?

 

Varbūt tu varētu parādīt kādu koda gabalu, lai varam pačekot, vai ir kāda acīmredzama kļūda...?

[Mr.Key]

Nav liela iespēja, bet arī pašam PHP ir caurumi, piemēram, šis te: http://www.google.lv/search?q=php+CVE-2012-0830

[crisp]

http://paste.php.lv/...a047f9?lang=php

Un Mr.Key tur rakstiits : Last week a critical bug was discovered in PHP. Which affects versions 5.3.9 and 5.2.17 , bet man ir 5.2.10 ?

Edited February 5, 2012 by crisp

[briedis]

Uzmetu aci, vēl viens ieteikums.

 

$thumb = PhpThumbFactory::create("$lapas_path/uploads/lietotaajs/real/" . $filename . "$ext");

 

Vajadzētu pārbaudīt, vai netiek izmests errors, ja nu gadījumā šis nav attēls (bet ir attēla paplašinājums). Tādējādi nevarētu tikt ielādēta bilde, kas nav bilde.

 

Protams, ja ir kļūda izveidot attēla objektu, IELĀDĒTO FAILU VAJADZĒTU IZDZĒST, nevis atstāt lietotāja mapē.

 

Pa manam, šeit kodā nav nekādas lielas ievainojamības neskaitot to, ka var ielādēt jebkādu failu ar attēlu paplašinājumu.

[crisp]

Skaidriite tagad skatos un domaaju, ka tas tieshaam vareetu buut tas critical bugs, daargie lietotaaji kaa lai linux ubuntu videe updeito php versiiju?

un Briedi paldies par ieteikumu njemshu veeraa :)

[codez]

Paskaties kaut kādus log failus, kas un kurā brīdi ko darījis. Es gan liktu vairāk uz to, ka kaut kādā veidā nosperta ftp parole - ar kādu spieg aprogrammu uz kompja, vai ko līdzīgu.