ways Skrevet 12. desember 2006 Del Skrevet 12. desember 2006 var nettopp borti r57shell.php på jobben. det er et php-script som lastes opp til php-servere via remote exploit i dårlig skrevet php-kode. den er ganske skummel. testet den ut på min egen server. kopierte den inn i en mappe uten å gi kjørerettigheter (-rw-r--r--, eid av vanlig bruker, ikke www-data). den ga meg med en gang full tilgang til alt www-data (vev-bruker på debiansystem) har tilgang til. åpner shelltilgang, gir muligheter for mysql dump, lar deg kopiere, maile, endre, laste opp og ned via ftp og wget, osv. skummelt. man begrenser den om man setter safe-mode og allow_url_fopen = Off i php.ini, men jeg synes det er veldig merkelig at de fleste distroer lar php kjøre med så slappe regler i utgangspunktet. gentoo var visst en av de få som deler ut php med litt strenge regler. det viser jo ganske godt at OS er mindre viktig, admin må vite hva han driver med for at en maskin skal være trygg. linux er ikke safe by default. symantec har klassifisert den som en trojaner http://www.sarc.com/avcenter/venc/data/php.rstbackdoor.html legger ikke ved shellbot'en, selvfølgelig, ettersom jeg sikkert vil bli stengt ute av forumet, dessuten bør den ikke havne i hvem som helst sine hender. men jeg tror alle som bryr seg om sikkerhet vil ha godt av å teste den. jeg vet jeg er mer nøyaktig med rettigheter i systemet nå. på jobben var hullet bruk av include på en GET variabel i et veldig gammelt system. symptomene var ekstrem trafikk på nettet (knelte brannmuren) da den var satt til å flood'e noen. fant en haug med filer (servere, flood-script og slikt) i /tmp med navn som ".tt", "...". noen andre som har fått besøk av denne? Lenke til kommentar https://www.diskusjon.no/topic/680712-skummel-shellbot-for-php/
iDude Skrevet 12. desember 2006 Del Skrevet 12. desember 2006 Har vært borti noe lignende, en php include-statement som ble dårlig sjekket, og åpnet for opplasting av filer til /tmp. Filen hadde heller ikke kjørerettighet, men den ble kjørt via perl så da går det.Vi fant ut av hullet og fikk tettet det til slutt, men der var mye rart på nettverket der en stund ja. irc-servere ble opprettet og spam fløy sannsynligvis veggimellom Ble også ganske overrasket over hvor slapp default php-konfigurering var, dette var FC. Hadde allow_furl_open vært satt til off hadde problemet aldri oppstått. Fant ut at det finnes egne websider på nettet for å utnytte slike ting. Helt sykt... Lenke til kommentar https://www.diskusjon.no/topic/680712-skummel-shellbot-for-php/#findComment-7488024
Gjest Slettet+432 Skrevet 12. desember 2006 Del Skrevet 12. desember 2006 var nettopp borti r57shell.php på jobben. det er et php-script som lastes opp til php-servere via remote exploit i dårlig skrevet php-kode. den er ganske skummel. testet den ut på min egen server. kopierte den inn i en mappe uten å gi kjørerettigheter (-rw-r--r--, eid av vanlig bruker, ikke www-data). den ga meg med en gang full tilgang til alt www-data (vev-bruker på debiansystem) har tilgang til. åpner shelltilgang, gir muligheter for mysql dump, lar deg kopiere, maile, endre, laste opp og ned via ftp og wget, osv. skummelt. man begrenser den om man setter safe-mode og allow_url_fopen = Off i php.ini, men jeg synes det er veldig merkelig at de fleste distroer lar php kjøre med så slappe regler i utgangspunktet. gentoo var visst en av de få som deler ut php med litt strenge regler. det viser jo ganske godt at OS er mindre viktig, admin må vite hva han driver med for at en maskin skal være trygg. linux er ikke safe by default. symantec har klassifisert den som en trojaner http://www.sarc.com/avcenter/venc/data/php.rstbackdoor.html legger ikke ved shellbot'en, selvfølgelig, ettersom jeg sikkert vil bli stengt ute av forumet, dessuten bør den ikke havne i hvem som helst sine hender. men jeg tror alle som bryr seg om sikkerhet vil ha godt av å teste den. jeg vet jeg er mer nøyaktig med rettigheter i systemet nå. på jobben var hullet bruk av include på en GET variabel i et veldig gammelt system. symptomene var ekstrem trafikk på nettet (knelte brannmuren) da den var satt til å flood'e noen. fant en haug med filer (servere, flood-script og slikt) i /tmp med navn som ".tt", "...". noen andre som har fått besøk av denne? 7487759[/snapback] Skremmende! Har ikke fått noe besøk av denne nei. Men kjører bare veldig enkle php-script på serveren for testing osv, er så lenge siden jeg har holdt på med det. Skal jeg ha noe mer avansert så ber jeg en venn lage for meg, han er kongeflink og skriver meget sikre script Lenke til kommentar https://www.diskusjon.no/topic/680712-skummel-shellbot-for-php/#findComment-7488066
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå