Jump to content
powie.de Tech Forum
Sign in to follow this  
efcidstein

uplad in pfile durch hacker

Recommended Posts

wir hatten am we auf unserer seite besuch eines hackers. irgendwie hat der es geschafft eine shell auf unseren server zu laden. scheinbar mittels pfile. nomalerweise dürfen nur freigeschaltete user files uploaden. er war aber nicht registriert.

hat jemand eine ahnung wie der babbsack es geschafft haben könnte uns eine datei ins file-verzeichnis von pfile einzuschleusen?


jetzt wollte ich mit $deny_files das uploaden von diversen datei-typen unterbinden. aber $deny_files wird irgendwie nirgendwo abgefragt? Hat da jemand eine lösung für?

Share this post


Link to post
Share on other sites

mal ganzt abgesehen von der Vermutung das er das über pFile gemacht hat....


Welche Beweise hast du dazu? Oder ist das nur eine Vermutung?

Was sagt das Webserver LOG?

Share this post


Link to post
Share on other sites

ich konnte das shell-skript, die er reingeladen hat als download auf pfile aufrufen.

wenn er einfach nur die datei in das verzeichnis "/pfile/files" kopiert hätte, dann sollte diese ja gar nicht dargestellt werden,oder lieg ich da falsch?

den webserver log konnte ich bisher nicht einsehen. ich werde mal versuchen da ran zukommen.

Share this post


Link to post
Share on other sites

interessant ist auf jeden Fall der Apache Log. Da sieht man nicht nur wie er den draufbekommen hat, wenn es über diesen Weg ging, sondern auch was er versucht hat damit anzurichten.

Share this post


Link to post
Share on other sites

Nachtrag: Aus dem Grund ist es meist die schlechteste Variante sowas schnell zu löschen! Besser ist meist die betroffenen Sachen zu sichern, dann zu entfernen , dann hat man anhand der Sicherungen die Möglichkeit das nachzuvollziehen, bzw. bei echten Schäden das auch nachweisbar zu behalten!

Share this post


Link to post
Share on other sites

also, die log-files haben bisher keinen nutzen erbracht. ich halte euch aber auf dem laufenden, wenn sich eine eneuigkeit ergibt.


zu meiner frage mit dem $deny_files mal zurück zu kommen. wie kann ich den upload von bestimmten datei-typen unterbinden?

Share this post


Link to post
Share on other sites

die Leute, denen man explizit Rechte zum Upload erteilt, denen sollte das notwendige Vertrauen schon zugsestehen.. unabhängig vom Filetyp.

Share this post


Link to post
Share on other sites

der kerl hat es schon wieder versucht.

diesmal aber wohl ohne erfolg, da er die hoch geladene datei nicht ausführen konnte.

die userid mit der er die dateien hochgeladen hat, war die des admins...also meine ;-(

hab die login-daten erst mal geändert. nur wundere ich mich: wenn er doch als admin bereits angemeldet war, dann hätte er doch viel mehr unfug machen können, ohne sein hacker-script hochzuladen????

Share this post


Link to post
Share on other sites

hmm....... nix für ungut..... du schreibst zwar viel, aber ohne eigentlichen Inhalt.


- welche datei hat er holchgeladen

- Dateiname

- wo gefunden

- was war in der Datei drin

- wie hast du das bemerkt


hab die login-daten erst mal geändert.


admin/admin ?

Share this post


Link to post
Share on other sites

- welche datei hat er holchgeladen -

- Dateiname

- wo gefunden

hier zu finden: http://efc.admin-web.net/pfile/files/setup.php

ich hoffe ihr könnt die datei nicht ausführen. ihc hier auf der arbeit kann es nicht.


- was war in der Datei drin

shell-script welches einen ftp-zugang, php-oberfläche usw. beeinhaltet...eben alles was man so braucht


- wie hast du das bemerkt

diesmal nur durch zufall, weil ich auf den download-link unserer seite gekommen bin....beim letzten mal hat er diverse einträge im forum geändert, smilies gelöscht usw....

Share this post


Link to post
Share on other sites

schau dir den timestamp der Datei an und dann such mal die entsprechenden Einträge aus dem Apache Log heraus. Würde mich interessieren... So wie das aussieht aber hatte er einen gültigen Admin Zugang, nur so kann man überhaupt im Upload über den Login hinweg.

Share this post


Link to post
Share on other sites

ich hatte noch eine idee ... welche vielleicht bei register_globals = on eine Möglichkeit geboten hätte, aber ich habe das bei register_globals=on getestet und daraus ergab sich keine Sicherheitslücke, zudem ist es bei dir auch auf OFF....


Also LOG Einträge wären da jetzt das interessante

Share this post


Link to post
Share on other sites

bisher noch keine rückmeldung...der server gehört einem bekannten....hab das gefühl das der gestern den sieg gegen aachen zu sehr gefeiert hat.. :-D .bisher ward er nicht mehr gesehen auf der hp und per mail antwortete er auch nicht...ich melde mich...

Share this post


Link to post
Share on other sites
Guest

Das sieht danach aus, dass das Admin-Passwort nicht zu Beginn von admin/admin auf ein anderes geändert wurde. Oder bem Serverbetreiber (ein Bekannter des Admin) hat sich jemand die Logindaten geborgt...

Share this post


Link to post
Share on other sites

Software ist nie fehlerfrei, es gibt so auch für pFile keine Garantie. Aber alles was ich überprüfen konnte habe ich durchgesehen und nichts gefunden. Um nachvollziehen zu können was da gelaufen ist benötige ich wie gesagt unebdingt die LOG Files. Da es diese nicht gibt, und die Tatsache das das File nicht wahllos hochgeladen war, sondern korrekt mit DB Eintrag angelegt und dem Admin User zugeordnet, gehe ich einfach davon as das dem vermeintlichen hacker einfach nur das Admin Passwort bekannt war.


Auf den "Serverbetreiber" sowas schieben zu wollen ist schlich und ergreifend .... :gaga: . Wozu hat der einen root Zugriff. :wink:

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×