uplad in pfile durch hacker

[efcidstein]

wir hatten am we auf unserer seite besuch eines hackers. irgendwie hat der es geschafft eine shell auf unseren server zu laden. scheinbar mittels pfile. nomalerweise dürfen nur freigeschaltete user files uploaden. er war aber nicht registriert.
hat jemand eine ahnung wie der babbsack es geschafft haben könnte uns eine datei ins file-verzeichnis von pfile einzuschleusen?
jetzt wollte ich mit $deny_files das uploaden von diversen datei-typen unterbinden. aber $deny_files  wird irgendwie nirgendwo abgefragt? Hat da jemand eine lösung für?

[Powie]

mal ganzt abgesehen von der Vermutung das er das über pFile gemacht hat....
Welche Beweise hast du dazu? Oder ist das nur eine Vermutung?
Was sagt das Webserver LOG?

[efcidstein]

ich konnte das shell-skript, die er reingeladen hat als download auf pfile aufrufen.
wenn er einfach nur die datei in das verzeichnis \"/pfile/files\" kopiert hätte, dann sollte diese ja gar nicht dargestellt werden,oder lieg ich da falsch?
den webserver log konnte ich bisher nicht einsehen. ich werde mal versuchen da ran zukommen.

[Powie]

URL ? Ist der Eintrag noch da? Welche UserID hatte der User der hochgeladen hat?

[efcidstein]

leider wurde alles schon gelöscht. ich werde morgen mal in die datenbank reinschauen ob ich noch was sehe. ich fürchte aber da is nix mehr.

[Powie]

interessant ist auf jeden Fall der Apache Log. Da sieht man nicht nur wie er den draufbekommen hat, wenn es über diesen Weg ging, sondern auch was er versucht hat damit anzurichten.

[Powie]

Nachtrag: Aus dem Grund ist es meist die schlechteste Variante sowas schnell zu löschen! Besser ist meist die betroffenen Sachen zu sichern, dann zu entfernen , dann hat man anhand der Sicherungen die Möglichkeit das nachzuvollziehen, bzw. bei echten Schäden das auch nachweisbar zu behalten!

[efcidstein]

also, die log-files haben bisher keinen nutzen erbracht.  ich halte euch aber auf dem laufenden, wenn sich eine eneuigkeit ergibt.
zu meiner frage mit dem $deny_files  mal zurück zu kommen. wie kann ich den upload von bestimmten datei-typen unterbinden?

[Powie]

die Leute, denen man explizit Rechte zum Upload erteilt, denen sollte das notwendige Vertrauen schon zugsestehen.. unabhängig vom Filetyp.

[efcidstein]

der kerl hat es schon wieder versucht.
diesmal aber wohl ohne erfolg, da er die hoch geladene datei nicht ausführen konnte.
die userid mit der er die dateien hochgeladen hat, war die des admins...also meine ;-(
hab die login-daten erst mal geändert. nur wundere ich mich: wenn er doch als admin bereits angemeldet war, dann hätte er doch viel mehr unfug machen können, ohne sein hacker-script hochzuladen????

[mahe]

LOGFILES!!!

[efcidstein]

sind angefordert...

[Powie]

hmm....... nix für ungut..... du schreibst zwar viel, aber ohne eigentlichen Inhalt.
- welche datei hat er holchgeladen
- Dateiname
- wo gefunden
- was war in der Datei drin
- wie hast du das bemerkt

hab die login-daten erst mal geändert.[/quote]
admin/admin ?

[efcidstein]

- welche datei hat er holchgeladen -
- Dateiname
- wo gefunden
hier zu finden: http://efc.admin-web.net/pfile/files/setup.php\" rel=\"external nofollow\">http://efc.admin-web.net/pfile/files/setup.php
ich hoffe ihr könnt die datei nicht ausführen. ihc hier auf der arbeit kann es nicht.
- was war in der Datei drin
shell-script welches einen ftp-zugang, php-oberfläche usw. beeinhaltet...eben alles was man so braucht
- wie hast du das bemerkt
diesmal nur durch zufall, weil ich auf den download-link unserer seite gekommen bin....beim letzten mal hat er diverse einträge im forum geändert, smilies gelöscht usw....

[Powie]

schau dir den timestamp der Datei an und dann such mal die entsprechenden Einträge aus dem Apache Log heraus. Würde mich interessieren... So wie das aussieht aber hatte er einen gültigen Admin Zugang, nur so kann man überhaupt im Upload über den Login hinweg.