NetCrack
Lieutenant
- Registriert
- Okt. 2001
- Beiträge
- 603
Hi Leute!
Ich habe ein riesiges Problem:
Ich habe auf PHP Basis 2 Autobörsen programmiert, d.h. relativ komplexe Anwendungen.
Nun ist es leider so, das durch irgendeine Sicherheitslücke irgendwo auf dem Server ein PHP Worm im Stande ist sich auszuführen. Dieser Installiert dann Perl Scripte im beschreibaren /tmp verzeichnis und führt diese aus. Der Sinn der Scripte ist es einen IRC Bot aufzusetzen über welchen dann Shellbefehle erfolgen können.
Der Hoster meint das Script kommt über wget auf den Server.
Ich hab nun also als erste Masnahme einen Filter geschrieben, welcher sämtliche POST/GET/Session/Cookie/uploaded_file(namen) - Daten auf Befehle wie wget cmd shell system eval .txt .gz .tar und sonstiges weitere überprüft.
Das war auch teilweise erfolgreich, der error_log ist zu entnehmen, dass der Angriff nicht mehr wie ursprünglich erfolgt, sondern nun auf andere Art und Weise (siehe Links).
Ich bin leider mit meinem Latein mehr oder Weniger am Ende.
Das selbe Problem tritt bei größeren Anwendungen auf, zum Beispiel war dies bei phpBB vor version 2.0.11 auch der Fall. Es gibt den Worm leider in den verschiedensten Varianten, von daher kann man nicht genau sagen wie er ins System gelangt. Für Lösungsvorschläge wäre ich EXTREM dankbar, da es wirklich ein riesengroßes Problem ist, weil der Hoster irgendwann die Seite sperrt, was unweigerlich zu Verdiensteinbusen führt.
Einträge in der error_log: http://nopaste.php-q.net/226277
Eingesetzter Filter: http://nopaste.php-q.net/226278
Wenn jemand eine Idee hat entweder wie das Script auf die Seite gelangt und/oder wie ich das unterbinden kann, bitte sagt bescheid.
Ich habe ein riesiges Problem:
Ich habe auf PHP Basis 2 Autobörsen programmiert, d.h. relativ komplexe Anwendungen.
Nun ist es leider so, das durch irgendeine Sicherheitslücke irgendwo auf dem Server ein PHP Worm im Stande ist sich auszuführen. Dieser Installiert dann Perl Scripte im beschreibaren /tmp verzeichnis und führt diese aus. Der Sinn der Scripte ist es einen IRC Bot aufzusetzen über welchen dann Shellbefehle erfolgen können.
Der Hoster meint das Script kommt über wget auf den Server.
Ich hab nun also als erste Masnahme einen Filter geschrieben, welcher sämtliche POST/GET/Session/Cookie/uploaded_file(namen) - Daten auf Befehle wie wget cmd shell system eval .txt .gz .tar und sonstiges weitere überprüft.
Das war auch teilweise erfolgreich, der error_log ist zu entnehmen, dass der Angriff nicht mehr wie ursprünglich erfolgt, sondern nun auf andere Art und Weise (siehe Links).
Ich bin leider mit meinem Latein mehr oder Weniger am Ende.
Das selbe Problem tritt bei größeren Anwendungen auf, zum Beispiel war dies bei phpBB vor version 2.0.11 auch der Fall. Es gibt den Worm leider in den verschiedensten Varianten, von daher kann man nicht genau sagen wie er ins System gelangt. Für Lösungsvorschläge wäre ich EXTREM dankbar, da es wirklich ein riesengroßes Problem ist, weil der Hoster irgendwann die Seite sperrt, was unweigerlich zu Verdiensteinbusen führt.
Einträge in der error_log: http://nopaste.php-q.net/226277
Eingesetzter Filter: http://nopaste.php-q.net/226278
Wenn jemand eine Idee hat entweder wie das Script auf die Seite gelangt und/oder wie ich das unterbinden kann, bitte sagt bescheid.