login  Naam:   Wachtwoord: 
Registreer je!
 Forum

rare bestanden in public_html

Offline kenzo - 07/11/2009 14:20 (laatste wijziging 07/11/2009 14:23)
Avatar van kenzoPHP beginner Hallo,

Ik kijk even op mijn public_html via ftp en zie allemaal text bestanden zoals: lol.txt, pwn.txt, fixed.txt etc...

Ook een bestand config.php:

Plaatscode: 137982

40 antwoorden

Gesponsorde links
Offline Joost - 07/11/2009 14:22
Avatar van Joost PHP expert Lijkt me een duidelijk gevalletje van een lekje ergens  
Offline kenzo - 07/11/2009 14:24
Avatar van kenzo PHP beginner jah, ik heb een bestandje config.php gezien, en als ik dat open kan ik dus ongeveer alles... (bestanden aanmaken, openen, wijzigen etc...)


Ik heb een cpanel host... verder kan ik daar toch weinig aan doen, of moet ik dit zelf beveiligen? (zit standaard gebruikersnaam en ww op natuurlijk)??
Offline Joost - 07/11/2009 14:27
Avatar van Joost PHP expert De kans is aannemelijker dat jij ergens een lek hebt zitten, maar dat weet je natuurlijk nooit. Je zou contact kunnen opnemen met je host, maar weet niet of die wat kunnen..
Offline Filip - 07/11/2009 14:28
Avatar van Filip IRC guru C99 is een hacking tool, dit stelt andere personen in staat om pinshing sites te instaleren op je hosting. Verwijder alle verdachte bestanden meteen, ook folders als die er al zijn.

Doorzoek je site toch maar eens grondig op lekken.. Een handige methode om te zien hoe ze het gedaan hebben is het opvragen van de apache logs, daar kan je zien welke requests deze hacker gedaan heeft om zijn file op je server te krijgen.
Offline NTS64 - 07/11/2009 14:29
Avatar van NTS64 PHP gevorderde Lijkt me inderdaad een lek, c99.php is een bekende php shell...
Als je echt zeker weet dat die bestanden daar niet zijn geplaatst door een lek in je eigen php applicatie, dan zou ik eens je hosting provider contacteren. De server waarop jij shared hosting hebt is dan waarschijnlijk niet zo veilig(meer).
Offline kenzo - 07/11/2009 14:29 (laatste wijziging 07/11/2009 14:33)
Avatar van kenzo PHP beginner ok bedankt...

ik zal meteen mailen met de host, en bestanden zijn al verwijdert...

Waar kan ik apache logs vinden? en ik weet niet of het aan mijn site ligt...

weet ook iemand ook hoe ik mijn sql wachtwoord kan wijzigen?
kan deze optie namelijk nergens vinden
Offline Filip - 07/11/2009 14:35
Avatar van Filip IRC guru SQL pass verander je door het passwoord van je cpanel account te veranderen. Andere (zelf gemaakte) account moet je verwijderen en terug toevoegen.

Je apache logs staan bij "Raw Access Logs".
Offline Koen - 07/11/2009 14:37
Avatar van Koen PHP expert Dit zal niets uitmaken, er zit hoogst waarschijnlijk een lek in je code. Zet heel je site offline en laat er iemand naar kijken ;)

Als je wil dat er iemand van ons naar kijkt zal je je code + logs even moeten doorspelen.
Offline kenzo - 07/11/2009 14:39 (laatste wijziging 07/11/2009 14:43)
Avatar van kenzo PHP beginner Ik denk dat dat een probleem is...

het is een vrij grote site (www.shamrock-maastricht.nl), en ik weet ook niet waar een lek zou kunnen zitten...

Iemand een idee, of is er toch iemand die de code na zou willen kijken

Verder weet ik ook niet of alles naar jullie mening "goed" gescript is...
zal misschien niet allemaal even netjes gedaan zijn


en bij raw access vind ik alleen html log en geen apache logs?



kan het ook aan het .ht-access bestand in de root map liggen? (de map voor public_html)

Ik heb echt geen idee waar iemand de site binnen is kunnen komen
Offline Koen - 07/11/2009 14:43
Avatar van Koen PHP expert Ofwel staan ze in je ftp, ofwel staan ze op je control panel.
Offline Filip - 07/11/2009 14:46
Avatar van Filip IRC guru
kenzo schreef:
en bij raw access vind ik alleen html log en geen apache logs?


Lees tegoei, er staat HTTP ACCESS LOGS. Dat is dus hetzelfde dan apache logs...
Offline kenzo - 07/11/2009 14:50 (laatste wijziging 07/11/2009 14:54)
Avatar van kenzo PHP beginner als ik in http acces logs kijk zie ik duizende regels (allemaal gets en post van bezoekers), maar als ik zoek naar config.php (bestand wat door de hacker is aangemaakt vind hij niets?)



zag nog een bestand shell.php (weet niet of dit vandaag is aangemaakt omdat ik het te snel verwijderde... toen ik dit opende zag ik ongeveer hetzelfde als net)
Offline Koen - 07/11/2009 15:06
Avatar van Koen PHP expert Je site is über hackbaar.. klik hier maar eens.
Offline kenzo - 07/11/2009 15:08
Avatar van kenzo PHP beginner a k*t...

en weet je er ook oplossingen tegen?
Offline Koen - 07/11/2009 15:11
Avatar van Koen PHP expert Er stond een link op die pagina 
Offline kenzo - 07/11/2009 15:14
Avatar van kenzo PHP beginner http://www.site...amp;id=521

ik zie dit...

misshien domme vraag, maar is dit gewoon te gebruiken, of gebeuren er dadelijk zoveel dingen dat ik echt een probleem heb?
Offline Koen - 07/11/2009 15:16
Avatar van Koen PHP expert Dit is volgens mij niet de reden van je hack avontuurtje, hiermee kan je hoogstens wat javascript uitvoeren/cookies stelen. Je hebt ergens een remote code execution exploit staan...
Offline kenzo - 07/11/2009 15:18
Avatar van kenzo PHP beginner bedankt voor alle hulp, maar heb geen idee waar jullie het over hebben of wat ik eraan kan doen?  


remote code execution exploit ??
Offline Koen - 07/11/2009 15:23
Avatar van Koen PHP expert http://www.owas..._Execution
Offline kenzo - 07/11/2009 15:29
Avatar van kenzo PHP beginner tja bedankt,

ik zal zoeken wat ik kan vinden...
als ik dat lees krijg ik steeds minder het idee dat het aan mijn code ligt...

Als ik een dedicated server neem... wordt dit dan moeilijke hackbaar, of is dit geen verschil?


Weet dus niet of via andere gebruikers op die host toegang gekregen kan worden tot mijn site?
Offline NTS64 - 07/11/2009 19:03 (laatste wijziging 07/11/2009 19:05)
Avatar van NTS64 PHP gevorderde Het ligt hoogst waarschijnlijk wel aan jouw code. Remote code execution komt het vaakst voor wanneer je je user input NIET of niet streng genoeg valideert.
http://cwe.mitre.org/top25/#CWE-20
Ook een variabele in de URL in dit geval titel, kan je beschouwen als user input.
De HTML Purifier class is dus zeker een aanrader.
Maar zolang je niet in je Apache Logs kijkt, kan je natuurlijk niet met zekerheid uitsluiten dat het aan andere gebruikers van je shared hosting server of misschien wel aan je hosting zelf(!) ligt. Een dedicated server nemen is helemaal geen oplossing, niet als het aan jouw code ligt. Dezelfde brakke code draaien, maar dan op een eigen server neemt het gevaar niet weg.
Offline kenzo - 07/11/2009 20:33
Avatar van kenzo PHP beginner ok, ik denk dat ik de titel ook ga weg laten... er zijn natuurlijk altijd nog $_GET's... is dit dan overal een probleem?
Offline NTS64 - 07/11/2009 22:47
Avatar van NTS64 PHP gevorderde Het is afhankelijk van wat je met die GET variabelen doet of ze een gevaar vormen of niet. Maar aangezien je die variabelen altijd op eoa manier in je code gebruikt, pas je dus best altijd veiligheidscontroles toe op deze vars.
Offline kenzo - 10/11/2009 09:29 (laatste wijziging 10/11/2009 10:18)
Avatar van kenzo PHP beginner ok, weet iemand een tutorial 0fzoiets waar ik kan vinden hoe ik dat het beste kan beveiligen? weet namelijk niet waar ik op moet zoeken

Koen schreef:
Je site is über hackbaar.. klik hier maar eens.


Ik heb dit uit het logo gehaald.. (dat met de get), en als ik de site opnieuw open (van koen), dan krijg ik alleen de site te zien...

is deze fout nu opgelost?

ik heb deze fout nog ergens anders gevonden... hoe kan ik dit oplossen?
Offline ArieMedia - 10/11/2009 10:21
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
kenzo schreef:
ok, weet iemand een tutorial 0fzoiets waar ik kan vinden hoe ik dat het beste kan beveiligen? weet namelijk niet waar ik op moet zoeken

[..quote..]

Ik heb dit uit het logo gehaald.. (dat met de get), en als ik de site opnieuw open (van koen), dan krijg ik alleen de site te zien...

is deze fout nu opgelost? (ik weet namelijk niet wat ik zou moeten gezien hebben)
Persoonlijk vind ik dit precies hetzelfde als een foutmelding gaan onderdrukken met @.

Je weet niet hoe je een fout oplost dus zorg je er maar voor dat het niet meer gebruikt kan worden dmv het weghalen. Als je niet beschikt over voldoende kennis waag je dan niet aan grotere websites.

Je kon gemakkelijk de fout er uit halen dmv PHP.net: urlencode en PHP.net: urldencode en door te controleren wat wel en niet mag.

Ben jij de trotse eigenaar die ik doorlink naar mijn tutorial op de aankomende website van mij. Als je hem gelezen hebt wil je dan feedback sturen mbt leesbaarheid en inhoud? Veilig Includen / Get gebruiken
Offline kenzo - 10/11/2009 10:35 (laatste wijziging 10/11/2009 11:06)
Avatar van kenzo PHP beginner Ik vind dat een beetje onzin over het niet wagen aan grotere sites... als je altijd klein blijft zul je deze fout nooit ontdekken... een simpele hobby homepage zal bijna nooit gehackt worden... zullen ze zelfs nooit proberen. Als je eenmaal begint aan een site weet je zelfs niet hoe groot hij wordt. Verder kom je pas dingen tegen naarmate je bezig bent.

Ik onderdruk de fout niet, maar zorg dat de risicoplekken eruit worden gehaald, en zal daar iets anders op bedenken.

Ik zal verder jouw tutorial lezen en hem beoordelen.

iig bedankt daarvoor!


ArieMedia schreef:
[..quote..]Persoonlijk vind ik dit precies hetzelfde als een foutmelding gaan onderdrukken met @.

Je weet niet hoe je een fout oplost dus zorg je er maar voor dat het niet meer gebruikt kan worden dmv het weghalen. Als je niet beschikt over voldoende kennis waag je dan niet aan grotere websites.

Je kon gemakkelijk de fout er uit halen dmv PHP.net: urlencode en PHP.net: urldencode en door te controleren wat wel en niet mag.

Ben jij de trotse eigenaar die ik doorlink naar mijn tutorial op de aankomende website van mij. Als je hem gelezen hebt wil je dan feedback sturen mbt leesbaarheid en inhoud? Veilig Includen / Get gebruiken



weet verder toch iemand een oplossing voor deze $_GET...

met urlencode en decode krijg ik die script includes nog aan het werken, en dat moet niet
Offline ArieMedia - 10/11/2009 11:13 (laatste wijziging 10/11/2009 11:20)
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
kenzo schreef:
...[..quote..]


weet verder toch iemand een oplossing voor deze $_GET...

met urlencode en decode krijg ik die script includes nog aan het werken, en dat moet niet
Valt ook al heel gemakkelijk te doen met PHP.net: str_replace...

Edit: Maar er zijn andere manieren.. zoals PHP.net: htmlentities
of de methode die ik suggereer met een array. als je het uit een database haalt kan je het ook al heel gemakkelijk controleren door een beveiligde query uit te voeren (dus PHP.net: mysql_escape_string gebruiken) en als je geen rijen terug krijgt bestaat de pagina niet.
Offline kenzo - 10/11/2009 11:20
Avatar van kenzo PHP beginner hier zat de fout ook nog:

http://tinyurl.com/ykx2rdl


bij uitgebreid zoeken kon je nog andere waardes invoeren... nu heb ik dit via urlencode proberen te vermijden...

kan iemand testen of dit dus helemaal niet meer werkt? (wat ik probeer blokkeert het script nu eigenlijk allemaal)


Offline ArieMedia - 10/11/2009 11:23 (laatste wijziging 10/11/2009 11:27)
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
kenzo schreef:
hier zat de fout ook nog:

http://tinyurl.com/ykx2rdl


bij uitgebreid zoeken kon je nog andere waardes invoeren... nu heb ik dit via urlencode proberen te vermijden...

kan iemand testen of dit dus helemaal niet meer werkt? (wat ik probeer blokkeert het script nu eigenlijk allemaal)
Het is veilig nu..

&zoek=<script type="text/javascript">window.alert('hoi');</script>
Word nu niet uitgevoerd maar omgezet...

Als je iets besteld dan is dit gevaarlijk omdat je met deze code
<script type="text/javascript">window.alert(document.cookie);</script>
iemand zijn cookie kan stelen en dingen gaan bestellen ed op zijn naam.
Offline kenzo - 10/11/2009 11:26 (laatste wijziging 10/11/2009 14:02)
Avatar van kenzo PHP beginner ok, mooi

bedankt
als iemand verder nog een fout ontdekt... zou hij/zij mij deze dan willen pm'en of mailen?


Vriendelijk bedankt allemaal


ArieMedia schreef:
Als je iets besteld dan is dit gevaarlijk omdat je met deze code
<script type="text/javascript">window.alert(document.cookie);</script>
iemand zijn cookie kan stelen en dingen gaan bestellen ed op zijn naam.


Wat bedoel je nu? heb je nog een fout ontdekt, of was dat nog over ervoor?
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.207s