php file som noen lasta opp på siden min.

[Dimethyltryptamine]

Hei.

 

Noen lastet opp denne php filen på siden min ( -) etter at de hadde endret fil typen til gif og png.

 

Jeg har slettet filene nå, men lurte på om noen kunne ta en titt på filen og si meg hva den gjør.

-

Endret 31. juli 2011 av LSĐ

[Kadmium]

Noen har utnyttet en svakhet i upload-scriptet ditt, og lastet opp et r57-shell. Det brukes, i likhet med c99 shells, ofte av crackere. Det florerer egentlig av forskjellige sånne typer shells på diverse undergrunnssider. De kan sies å være ganske avanserte kontrollpanel for serveren de er lastet opp til (i dette tilfellet, din server).

 

Avhengig av hvor komplisert shell det er, kan de utføre diverse operasjoner på serveren din. De kan se alt av filer, modifisere filer om det ikke er satt rettigheter som blokkerer for dette, etc. De kan koble til SQL-databasen din lokalt etc og sjekke f.eks konfigurasjonsfiler for phpinfo.

 

Sende masse spam-mail fra serveren din er også mulig med de fleste slike shells. Lastet opp r57-shellet til min egen server nå for å se hva slags funksjonalitet scriptet inneholder, og det er et ganske avansert shell, dvs. at de kan utnytte serveren din i stor grad. Jeg anbefaler at du tetter igjen dette sikkerhetshullet så fort som mulig.

Endret 17. november 2009 av Señor Bukkake

[Dimethyltryptamine]

Nå hadde de som sagt endret filtypen til gif og png, får de fremdeles brukt filen da?

[Dimethyltryptamine]

siden det er noen som tydeligvis synes det er morsomt og prøve og laste opp fila på nytt, har jeg midlertidig passordbeskytta upload sida

[Matsemann]

Høres ut som en zero byte hack eller noe i den duren.

Du sjekker vel hvilke filtyper du tillater blir lastet opp?

[Dimethyltryptamine]

Høres ut som en zero byte hack eller noe i den duren.

Du sjekker vel hvilke filtyper du tillater blir lastet opp?

Man får kun lasta opp bilde filer.

 

De hadde endret filtypen så fila var kalt r57.php.gif og r57.php.png

 

Det er vel ikke noen måte de kan få brukt filen etter at de har lastet den opp når den er en png eller gif fil?

[Matsemann]

Vel, zero byte hack lurer scriptet til å tro at det er en annen filtype enn det egentlig er. Får vi se koden til opplastingen?

[Dimethyltryptamine]

-

Endret 31. juli 2011 av LSĐ

[Matsemann]

PHP_SELF er farlig å bruke om man ikke validerer eller escaper den, les her og her. (bare sånn til informasjon)

 

Nå har jeg ikke fulgt helt med siden PHP5 kom, så jeg er ikke vant til objektorientering i php. Driver og frisker opp nå, men kan vanskelig gjøre annet enn å peke ut sikkerhetstrusler.

 

Uansett, om filen ender opp som fil.php.jpg på serveren din er det mest sannsynlig at de ikke har fått gjort noe spesielt. Men serveren kan kjøre php i alle filer om man setter den til det, så helt sikker er du ikke.

Men om de bare har endret filtypen på et dokument og lastet opp som en annen filtype og den aldri vil kunne kjøres som php er det egentlig ganske harmløst, så lenge det ikke er noe jeg overser.

[BlueEAGLE]

Det de nok er på jakt etter er servere som tolker alle filer som php. Alternativt sider hvor de kan injecte filnavn for å få disse til å tolke filer som php uavhengig av filendelse.