ugrás a tartalomhoz

Weblap feltörés próbálkozások

Carter · 2007. Ápr. 20. (P), 09.02
A szolgáltatóm néhány naponta küld egy e-mailt, amiben figyelmeztet, hogy valaki(k) megpróbálták feltörni a weblapom. Ehhez mellékelnek egy php kódot is, azt a támadó kódjával azonosítva.

Abban egy spam-levél küldő progi van.

Az oldal include() függvényt használ az oldalfelépítésben, valamint két formot tartalmaz. Az egyik a szerveren lévő szöveges fájlba helyezi el a beírt tartalmat, a másikkal elvileg e-mailt lehet küldeni két személynek. mail() és semmit más.

Mi lehet az a pontja a rendszernek, ahol a legkönnyebb behatolni?

Hogy kicsit világosabb legyen a nagy sötétség, az oldal címe: http://sarokuzlethaz.hu

Köszi a segítséget
‹ Hosting külföldön A www mappa és azon kívüli dolgok ›
 
1

no panic

virág · 2007. Ápr. 20. (P), 09.19
Sziaaa!

1. az a bizonyos szolgáltató nagyon a topon lehet, mindent észrevesz... :)
2. szerintem nem akarták feltörni a weblapodat (bocs, de nem olyan profilúnak és népszerűségűnek tűnik, hogy valakik erre rászálljanak)
3. a spamküldés reális veszély, ahol nyilvános űrlapod van, oda építs be valamilyen spamvédelmet (kódbeírási kényszer, regisztráció bla-bla akármi)

sztem ezt nézd át:
http://sarokuzlethaz.hu/index.php?oldal=code/email.code

valószínű, hogy ez tetszett meg valakinek. (rakj bele olyat, hogy be kell írni egy szót, amit megadsz)
2

ajjaj

Szekeres Gergő · 2007. Ápr. 20. (P), 09.20
ilyen példákat szoktak írni a php programozási könyvekbe. Ellenpéldának.

GET változót közvetlenül includeba? legalább ellenőrizd le elötte...
3

Ez így elég tág...

vbence · 2007. Ápr. 20. (P), 09.29
Ebbe belefér, hogy kaptál egy automatikus támadást: egy automatizált eszköz végigmegy egymillió hoston, és kipróbálgatja, van-e rajta olyan php alkalmazás, amiben ő ismer hibát. Leginkább ezek a botok egy konkrét hibát keresnek, például ha futtatsz PhpBB-t, akkor abban. Mégegyszer mondom: 90%ban egy bot egy hibát keres.

Másold be a loból azt a sort amit küldtek. (ip-k meg hasonlók nem kellenek). Ebben benne van, hogy melyik php címmel próbálkoztak.

Amit ennyi infóból leszűrök: az inkompetens szolgáltató majrézik, hogy felnyomják az összetákolt rendszerét (normális rendszerrel nem lenne miért aggóddnia), és téged zaklat, hogy ő nyugodtabban aludjon.
4

Csak egy megjegyzes

kissns · 2007. Ápr. 20. (P), 11.04
A hirlevelre feliratkozottak tarolasara nem biztos, hogy egy html file a legalkalmasabb. ;)
6

Igaz

Carter · 2007. Ápr. 20. (P), 13.03
Ezt én is pontosan így érzem. :)

Nagyon köszi mindenkinek a tanácsokat.
5

weblabor olvasnivaló

gex · 2007. Ápr. 20. (P), 11.46
ajánlott olvasmány: Email beszúrás sebezhetőségek és elkerülésük
7

Ellenőrizd, hogy mit include-olsz

drifter · 2007. Ápr. 20. (P), 16.12
Az a gond, hogy kívülről manipulálhatom hogy pontosan milyen file-t töltsön be. Nem ellenőrzöd, hogy mit kapsz az 'oldal' változóban. Így akármilyen file-ra hivatkozhatok, sőt mivel az include() az http forrást is elfogad, külső szerverről is tölthetek be adatot az oldaladba.

Lásd pl:

http://sarokuzlethaz.hu/index.php?oldal=http://www.indymedia.org/cities.inc

Ha nem lenne open_basedir, így szépen látnám az unix usereket:

http://sarokuzlethaz.hu/index.php?oldal=/etc/passwd
8

Ötlet?

Carter · 2007. Ápr. 20. (P), 16.53
És kinek milyen ötlete van, hogy lehetne ezt biztonságosabbá tenni max. 200 pofonegyszerű lépésben? :) Vagy ilyet inkább ne kérdezzek?
9

keress

gex · 2007. Ápr. 20. (P), 17.29
itt egy téma, igaz nem 200, csak 68 lépés...
10

include

ErdosJ · 2007. Ápr. 20. (P), 17.40
ez vicces:
http://sarokuzlethaz.hu/index.php?oldal=index.php
11

Tükörben a tükörben a...

janoszen · 2007. Ápr. 20. (P), 21.57
Ez a tükrös játékra emlékeztet attól eltekintve persze, hogy olyan szépen meg lehet DOS-olni vele a szervert, mint a huzat.