feltört honlap
Sziasztok!
Először is nincs baj, csak kíváncsi vagyok a dologgal kapcsolatban, mert nekem ez az első ilyen élményem...
Egy régi teszt honlap fent maradt az egyik tesztelésre szánt tárhelyen. Most kb egy év után visszanéztem rá hogy letöröljem mert majd újra szükség lesz rá és észrevettem pár gyanús mappát, file-t amit tuti nem én hoztam létre (mindenkinek saját teszt tárhelye van tehát nem lehetett kolléga sem).
Az érdekesség az hogy biztos nem FTP-vel töltöttek fel rá, ugyanis a log nem írt semmit azóta hogy abba maradt a munka, sem FTP-re sem a tárhely admin felületére történő belépésre (a logot meg nem manipulálhatták mert az a szolgáltató admin felületén érhető el és nem törölhető).
Ami érdekes volt hogy találtam pár filet (ezeket INNEN le is tölthetitek elemzésre) amik meglepő tartalommal bírtak.
Pl az egyik (c nevű kiterjesztés nélküli) fileban egy php kiíratási parancs van elég fura módon.
Egy másikban (c.php) egy file feltöltési log, a többiben meg még durvább (c100.php és bd.bph) meg egy komplett tárhelyet kilistázó/kezelő alkalmazás... a title-ben annyi van hogy "www.unlouppourlhomme.com - Hackerlar.net"...
A honlapról annyit hogy teljesen mentes volt mindet input védelemtől (mivel tényleg csak arra volt használva hogy ne az ügyfél tárhelyén baromkodjunk).
Amit lehetett csinálni az oldalon hogy egy nagyon kezdetleges admin felületbe be lehetett lépni (mondjuk ennek a jelszava meghaladta a "jelszó123" szintjét és legalább ennek volt egy minimális védelme injection ellen) majd ott egy-egy termékfotót illetve termékleírást lehetett felölteni-törölni-módosítani. (a termékfotóknál volt még annyi ellenőrzés hogy csak gif-et, jpeg-et és png filet engedett feltölteni)
A kérdésem az hogy valakinek ismerős a bejutási mód, illetve hogy vitelezhette ki a file feltöltést és a bejutást?
Előre is köszönöm!
■ Először is nincs baj, csak kíváncsi vagyok a dologgal kapcsolatban, mert nekem ez az első ilyen élményem...
Egy régi teszt honlap fent maradt az egyik tesztelésre szánt tárhelyen. Most kb egy év után visszanéztem rá hogy letöröljem mert majd újra szükség lesz rá és észrevettem pár gyanús mappát, file-t amit tuti nem én hoztam létre (mindenkinek saját teszt tárhelye van tehát nem lehetett kolléga sem).
Az érdekesség az hogy biztos nem FTP-vel töltöttek fel rá, ugyanis a log nem írt semmit azóta hogy abba maradt a munka, sem FTP-re sem a tárhely admin felületére történő belépésre (a logot meg nem manipulálhatták mert az a szolgáltató admin felületén érhető el és nem törölhető).
Ami érdekes volt hogy találtam pár filet (ezeket INNEN le is tölthetitek elemzésre) amik meglepő tartalommal bírtak.
Pl az egyik (c nevű kiterjesztés nélküli) fileban egy php kiíratási parancs van elég fura módon.
Egy másikban (c.php) egy file feltöltési log, a többiben meg még durvább (c100.php és bd.bph) meg egy komplett tárhelyet kilistázó/kezelő alkalmazás... a title-ben annyi van hogy "www.unlouppourlhomme.com - Hackerlar.net"...
A honlapról annyit hogy teljesen mentes volt mindet input védelemtől (mivel tényleg csak arra volt használva hogy ne az ügyfél tárhelyén baromkodjunk).
Amit lehetett csinálni az oldalon hogy egy nagyon kezdetleges admin felületbe be lehetett lépni (mondjuk ennek a jelszava meghaladta a "jelszó123" szintjét és legalább ennek volt egy minimális védelme injection ellen) majd ott egy-egy termékfotót illetve termékleírást lehetett felölteni-törölni-módosítani. (a termékfotóknál volt még annyi ellenőrzés hogy csak gif-et, jpeg-et és png filet engedett feltölteni)
A kérdésem az hogy valakinek ismerős a bejutási mód, illetve hogy vitelezhette ki a file feltöltést és a bejutást?
Előre is köszönöm!
ópenszósz?
gondolom bepróbált egy robot pár url-t aztán talált egyet, ráadásul az volt mögötte amit keresett, aztán megpróbált lefutni és sikerült.
..nem hinném, hogy célzott támadásnak lettél volna kitéve
tuti véletlen
Nem csak megtalálnak, de néha
értem én
Hogy a francban találnak meg egy olyan oldalt szinte azonnal ami épphogy fent van a neten (mára az internet olyan nagy hogy az elektronhalmaz súlyát is meg tudták becsülni), itt már a számítási teljesítmény is nagy kérdéseket vet fel bennem (és akkor a sávszélességi keresztmetszetet ideálisra veszem), vagy csak erre meg DDos-ra tartják a botneteket?
Szinte azonnal
Ugye némi ideig felé sem néztél. Az 1000. hely keresőben a robotot nem zavarja, "neki" van türelme lapozgatni. Ezen kívül, ha elég okos, csak olyan oldalakkal (URL-ekkel) kísérletezik, amelyikkel eddig még nem "dolgozott".
Akkor? Min csodálkozol?
Az, hogy milyen backdoort
XSS-sel (ami ellen az "input védelem" tipikusan véd) nem lehet feltörni egy oldalt, SQL injectionnel talán, a legvalószínűbb, hogy vagy feltöltöttek egy PHP fájlt (ha van pl. képfeltöltés az oldalon), vagy valami remote file inclusion vulnerabilityt találtak.
Ha register globals be van
Pl itt van egy rövid leírás, hogyha require-el szolgálsz ki képeket, akkor abba simán injektálhatnak php kódot. Valószínűleg valami komoly biztonsági rés volt a kódodban, amit ki tudtak használni.