Anzeige

Ungewollter Fileupload durch php?

Ungewollter Fileupload durch php? | PSD-Tutorials.de

Erstellt von ka2wei, 14.09.2008.

  1. ka2wei

    ka2wei Noch nicht viel geschrieben

    Dabei seit:
    30.01.2007
    Beiträge:
    20
    Geschlecht:
    männlich
    Ungewollter Fileupload durch php?
    Moin,
    hab ein Problem mit der von mir erstellten Seite:
    katzzoom.de - Ferne Lnder in Schwarz Wei
    Problem ist folgendes: in regelmäßigen Abständen werden auf den Server von irgendwem Dateien hochgeladen (wechsel das ftp Passwort regelmäßig und es gibt kein php upload script, in das man sich irgendwie reinhängen könnte, soweit ich das überbblicken kann) und ich hab keine Ahnung wie das passieren kann. Durch diese extra Datein verweist der Eintrag unter google (#1 unter "katzzoom") nicht mehr auf die index.php (bzw. er verweist zwar noch drauf wird aber redirected). Kann ich was dagegen tun? Oder gibt es irgendwelche php scripts die ich verwendet haben könnte wodurch ein außenstehender datein hochladen kann obwohl ich das nich geplant habe? GIbts sonst möglichkeiten den server irgendwie zu schützen?

    Vielen Dank schon mal
    MFG
    Ka2wei


    P.S. Wenn das in n anderes Unterforum reingehört - sry, hab nichts besseres gefunden...
     
    #1      
  2. kleeaar

    kleeaar zwo-eins-risiko!

    1
    Dabei seit:
    26.03.2008
    Beiträge:
    2.766
    Geschlecht:
    männlich
    Kameratyp:
    Samsung GX 1L
    Ungewollter Fileupload durch php?
    AW: Ungewollter Fileupload durch php?

    ich würde sagen, dein webspace von einem Virus befallen ist.
    denn wenn ich auf die Seite gehe, wird man weitergeleted und ich bekomme eine Virenmeldung...

    Grüße
     
    Zuletzt bearbeitet: 14.09.2008
    #2      
  3. NiAlMa

    NiAlMa Nicht mehr ganz neu hier

    Dabei seit:
    10.09.2008
    Beiträge:
    180
    Geschlecht:
    männlich
    Ort:
    Schwabenländle
    Software:
    CC, Lightbox, PSPad, Notepad++
    Ungewollter Fileupload durch php?
    AW: Ungewollter Fileupload durch php?

    was sagt den das Logfile des Servers!?

    Sieht so aus als ob du irdendwo in einem Script ein Bug hast!
     
    #3      
  4. MalteP

    MalteP Noch nicht viel geschrieben

    Dabei seit:
    25.03.2008
    Beiträge:
    15
    Geschlecht:
    männlich
    Ort:
    Uelzen
    Software:
    PS CS3 extended
    Kameratyp:
    Canon EOS350D
    Ungewollter Fileupload durch php?
    AW: Ungewollter Fileupload durch php?

    Also als erstes mal solltest du sichergehen das dein PC auch Virenfrei ist. Und benutze bitte nicht Antivir, denn der beseitigt in vielen Fällen nicht mehr einwandfrei. Habe mittlerweile in der letzten Zeit vier Rechner bekommen, total voll Viren und Avira sagt is alles ok.. Benutze hier nur noch Kaspersky Internet Security auf diversen PCs und habe seit dem nirgendwo mehr Viren gehabt.

    Kaspersky sagt dazu übrigens:
    Code (Text):
    1. gefunden: trojanisches Programm Trojan.JS.Redirector.f    URL: http://www.katzzoom.de/pictures/barcelona/ciutat_vella/afa/check.js
    2.  
    Scheint so als ob irgendwelche .htaccess Dateien eine Weiterleitung auf eine Datei namens t.html veranlassen.
    Bitte um Ratschlag (trojan.js.redirector.e) - VMS Supportforum

    Dann steht dort noch, das es auch durch includen externer Seiten passieren könnte. Habe das gerade mal Theoretisch durchdacht. Includet man eine Seite von einem Server auf dem der PHP interpreter auch rennt ist das kein Risiko. Aber was passiert wenn man eine Seite includet die den Quelltext ausgibt... Wird der dann auf dem Server ausgeführt? Dann müsstest du das Includen von Seiten die mit http:// anfangen unterbinden, zum beispiel per ereg_replace. Denn so könnte man ja externen Code auf deinem Server ausführen. Das werde ich gleich mal testen, theoretisch könnte das funktionieren...

    EDIT: Autsch, glaub du krist erstma ne PM bevor ich den Testcode poste.
     
    Zuletzt bearbeitet: 16.09.2008
    #4      
  5. ka2wei

    ka2wei Noch nicht viel geschrieben

    Dabei seit:
    30.01.2007
    Beiträge:
    20
    Geschlecht:
    männlich
    Ungewollter Fileupload durch php?
    AW: Ungewollter Fileupload durch php?

    Super, vielen vielen Dank, hab das so gemacht und ich denk mal das wird es gewesen sein mit dem inlcude.
    Und der ganze stress weil ich mir nicht den aufwand machen wollte den content übern n switch einzubinden...wenigstens weiß ichs jetzt für die zukunft :D
    Denke mal das Problem sollte jetzt behoben sein, kannst die pm an mich also posten.

    Frage ist ob der Trojaner jetzt noch drauf ist, habe alle Datein in dem angelegten Ordner gelöscht, aber kein ordentliches Virenprogramm zum checken (arbeite am mac...). Soweit ich das sehen kann sind im gesamten verzeichnis keine ungewollten datein mehr (auch keine versteckten). Kann trotzdem noch irgendwo ein Trojaner sitzen?
     
    #5      
  6. MalteP

    MalteP Noch nicht viel geschrieben

    Dabei seit:
    25.03.2008
    Beiträge:
    15
    Geschlecht:
    männlich
    Ort:
    Uelzen
    Software:
    PS CS3 extended
    Kameratyp:
    Canon EOS350D
    Ungewollter Fileupload durch php?
    AW: Ungewollter Fileupload durch php?

    Ja dann will ich das mal noch im Detail erklären damit andere auch noch was davon haben.

    Die Weiterleitung selber realisiert der Virus über eine .htaccess Datei in beliebigen Serververzeichnissen.

    Aber nun das Interessante - nämlich wie er reinkommt und wie man sich Programmiertechnisch davor schützt:

    Die PHP Include Funktion. Echt n nettes Teilchen, hat aber auch so ihre Tücken:
    Wenn die Webseite folgendermaßen aufgebaut ist
    PHP:
    1. <?php
    2. [...]
    3.  include($site.".php");
    4. [...]
    5. ?>
    lässt sich wenn man die Zielseite mit http://serverurl/datei (ohne ".php" denn das macht ja das Script) aufruft eine Seite von einem anderen Server includen. Währe ja nicht schlimm ABER:
    Nun macht der Angreifer folgendes, seine Seite gibt einen PHP Code aus. Richtig als lesbaren Code. Den führt der Zielserver beim Includen aus. Damit kann man nun beliebige Böse oder auch nicht Böse sachen bauen. In dem Fall eine harmlose Weiterleitung, oder in meinem Fall Text und phpinfo(); man kann sich aber denken das beliebige schlimmere Dinge möglich währen - Daten löschen, verändern, (passwörter)auslesen, etc.

    Mein Testcode sah so aus:
    PHP:
    1. <?php
    2.  echo "Hier könnte ihr Php-Virus includet werden... =)";
    3.  echo "<br><br>";
    4.  echo '<?php phpinfo(); ?>';
    5. ?>  
    Und sieheda:
    [​IMG]

    Nun aber zu den wichtigen Dingen - was dagegen tun?
    Im einfachsten Fall könnte man aus der Variable das http:// herausfiltern. Beispielsweise mit ereg_replace. Wenn dann allerdings jemand HTTP:// schreibt bringt das auch nix. Viel mir grad spontan ein.
    Lösung nummer zwo: Überprüfen ob die Datei auf dem Server existiert: file_exists()
    PHP:
    1. if(file_exists($site.".php")) include($site.".php") else echo "Seite net gefunden ^^";
    Lösung 3, nach ka2wei: Per switch() nur bestimmte Strings zulassen, zu denen auch Seiten existieren.

    Hoffe damit allen geholfen zu haben die noch diesen Virus draufhaben - und in Zukunft beim Include etwas geschickter Programmieren :) Bei meiner Webseite hab ichs ganz unbewusst so gemacht weil ich bei unbekannter Seite die Fehlermeldung haben wollte =)
     
    #6      
x
×
×
teststefan