Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > Overige

rare bestanden in public_html

kenzo - 07/11/2009 14:20 (laatste wijziging 07/11/2009 14:23)
PHP beginner		Hallo, Ik kijk even op mijn public_html via ftp en zie allemaal text bestanden zoals: lol.txt, pwn.txt, fixed.txt etc... Ook een bestand config.php: Plaatscode: 137982

40 antwoorden

Gesponsorde links

Joost - 07/11/2009 14:22
PHP expert		Lijkt me een duidelijk gevalletje van een lekje ergens

kenzo - 07/11/2009 14:24
PHP beginner		jah, ik heb een bestandje config.php gezien, en als ik dat open kan ik dus ongeveer alles... (bestanden aanmaken, openen, wijzigen etc...) Ik heb een cpanel host... verder kan ik daar toch weinig aan doen, of moet ik dit zelf beveiligen? (zit standaard gebruikersnaam en ww op natuurlijk)??

Joost - 07/11/2009 14:27
PHP expert		De kans is aannemelijker dat jij ergens een lek hebt zitten, maar dat weet je natuurlijk nooit. Je zou contact kunnen opnemen met je host, maar weet niet of die wat kunnen..

Filip - 07/11/2009 14:28
IRC guru		C99 is een hacking tool, dit stelt andere personen in staat om pinshing sites te instaleren op je hosting. Verwijder alle verdachte bestanden meteen, ook folders als die er al zijn. Doorzoek je site toch maar eens grondig op lekken.. Een handige methode om te zien hoe ze het gedaan hebben is het opvragen van de apache logs, daar kan je zien welke requests deze hacker gedaan heeft om zijn file op je server te krijgen.

NTS64 - 07/11/2009 14:29
PHP gevorderde		Lijkt me inderdaad een lek, c99.php is een bekende php shell... Als je echt zeker weet dat die bestanden daar niet zijn geplaatst door een lek in je eigen php applicatie, dan zou ik eens je hosting provider contacteren. De server waarop jij shared hosting hebt is dan waarschijnlijk niet zo veilig(meer).

kenzo - 07/11/2009 14:29 (laatste wijziging 07/11/2009 14:33)
PHP beginner		ok bedankt... ik zal meteen mailen met de host, en bestanden zijn al verwijdert... Waar kan ik apache logs vinden? en ik weet niet of het aan mijn site ligt... weet ook iemand ook hoe ik mijn sql wachtwoord kan wijzigen? kan deze optie namelijk nergens vinden

Filip - 07/11/2009 14:35
IRC guru		SQL pass verander je door het passwoord van je cpanel account te veranderen. Andere (zelf gemaakte) account moet je verwijderen en terug toevoegen. Je apache logs staan bij "Raw Access Logs".

Koen - 07/11/2009 14:37
PHP expert		Dit zal niets uitmaken, er zit hoogst waarschijnlijk een lek in je code. Zet heel je site offline en laat er iemand naar kijken ;) Als je wil dat er iemand van ons naar kijkt zal je je code + logs even moeten doorspelen.

kenzo - 07/11/2009 14:39 (laatste wijziging 07/11/2009 14:43)
PHP beginner		Ik denk dat dat een probleem is... het is een vrij grote site (www.shamrock-maastricht.nl), en ik weet ook niet waar een lek zou kunnen zitten... Iemand een idee, of is er toch iemand die de code na zou willen kijken Verder weet ik ook niet of alles naar jullie mening "goed" gescript is... zal misschien niet allemaal even netjes gedaan zijn en bij raw access vind ik alleen html log en geen apache logs? kan het ook aan het .ht-access bestand in de root map liggen? (de map voor public_html) Ik heb echt geen idee waar iemand de site binnen is kunnen komen

Koen - 07/11/2009 14:43
PHP expert		Ofwel staan ze in je ftp, ofwel staan ze op je control panel.

Filip - 07/11/2009 14:46
IRC guru		kenzo schreef: en bij raw access vind ik alleen html log en geen apache logs? Lees tegoei, er staat HTTP ACCESS LOGS. Dat is dus hetzelfde dan apache logs...

kenzo - 07/11/2009 14:50 (laatste wijziging 07/11/2009 14:54)
PHP beginner		als ik in http acces logs kijk zie ik duizende regels (allemaal gets en post van bezoekers), maar als ik zoek naar config.php (bestand wat door de hacker is aangemaakt vind hij niets?) zag nog een bestand shell.php (weet niet of dit vandaag is aangemaakt omdat ik het te snel verwijderde... toen ik dit opende zag ik ongeveer hetzelfde als net)

Koen - 07/11/2009 15:06
PHP expert		Je site is über hackbaar.. klik hier maar eens.

kenzo - 07/11/2009 15:08
PHP beginner		a k*t... en weet je er ook oplossingen tegen?

Koen - 07/11/2009 15:11
PHP expert		Er stond een link op die pagina

kenzo - 07/11/2009 15:14
PHP beginner		http://www.site...amp;id=521 ik zie dit... misshien domme vraag, maar is dit gewoon te gebruiken, of gebeuren er dadelijk zoveel dingen dat ik echt een probleem heb?

Koen - 07/11/2009 15:16
PHP expert		Dit is volgens mij niet de reden van je hack avontuurtje, hiermee kan je hoogstens wat javascript uitvoeren/cookies stelen. Je hebt ergens een remote code execution exploit staan...

kenzo - 07/11/2009 15:18
PHP beginner		bedankt voor alle hulp, maar heb geen idee waar jullie het over hebben of wat ik eraan kan doen? remote code execution exploit ??

Koen - 07/11/2009 15:23
PHP expert		http://www.owas..._Execution

kenzo - 07/11/2009 15:29
PHP beginner		tja bedankt, ik zal zoeken wat ik kan vinden... als ik dat lees krijg ik steeds minder het idee dat het aan mijn code ligt... Als ik een dedicated server neem... wordt dit dan moeilijke hackbaar, of is dit geen verschil? Weet dus niet of via andere gebruikers op die host toegang gekregen kan worden tot mijn site?

NTS64 - 07/11/2009 19:03 (laatste wijziging 07/11/2009 19:05)
PHP gevorderde		Het ligt hoogst waarschijnlijk wel aan jouw code. Remote code execution komt het vaakst voor wanneer je je user input NIET of niet streng genoeg valideert. http://cwe.mitre.org/top25/#CWE-20 Ook een variabele in de URL in dit geval titel, kan je beschouwen als user input. De HTML Purifier class is dus zeker een aanrader. Maar zolang je niet in je Apache Logs kijkt, kan je natuurlijk niet met zekerheid uitsluiten dat het aan andere gebruikers van je shared hosting server of misschien wel aan je hosting zelf(!) ligt. Een dedicated server nemen is helemaal geen oplossing, niet als het aan jouw code ligt. Dezelfde brakke code draaien, maar dan op een eigen server neemt het gevaar niet weg.

kenzo - 07/11/2009 20:33
PHP beginner		ok, ik denk dat ik de titel ook ga weg laten... er zijn natuurlijk altijd nog $_GET's... is dit dan overal een probleem?

NTS64 - 07/11/2009 22:47
PHP gevorderde		Het is afhankelijk van wat je met die GET variabelen doet of ze een gevaar vormen of niet. Maar aangezien je die variabelen altijd op eoa manier in je code gebruikt, pas je dus best altijd veiligheidscontroles toe op deze vars.

kenzo - 10/11/2009 09:29 (laatste wijziging 10/11/2009 10:18)
PHP beginner		ok, weet iemand een tutorial 0fzoiets waar ik kan vinden hoe ik dat het beste kan beveiligen? weet namelijk niet waar ik op moet zoeken Koen schreef: Je site is über hackbaar.. klik hier maar eens. Ik heb dit uit het logo gehaald.. (dat met de get), en als ik de site opnieuw open (van koen), dan krijg ik alleen de site te zien... is deze fout nu opgelost? ik heb deze fout nog ergens anders gevonden... hoe kan ik dit oplossen?

ArieMedia - 10/11/2009 10:21
PHP ver gevorderde		kenzo schreef: ok, weet iemand een tutorial 0fzoiets waar ik kan vinden hoe ik dat het beste kan beveiligen? weet namelijk niet waar ik op moet zoeken [..quote..] Ik heb dit uit het logo gehaald.. (dat met de get), en als ik de site opnieuw open (van koen), dan krijg ik alleen de site te zien... is deze fout nu opgelost? (ik weet namelijk niet wat ik zou moeten gezien hebben) Persoonlijk vind ik dit precies hetzelfde als een foutmelding gaan onderdrukken met @. Je weet niet hoe je een fout oplost dus zorg je er maar voor dat het niet meer gebruikt kan worden dmv het weghalen. Als je niet beschikt over voldoende kennis waag je dan niet aan grotere websites. Je kon gemakkelijk de fout er uit halen dmv PHP.net: urlencode en PHP.net: urldencode en door te controleren wat wel en niet mag. Ben jij de trotse eigenaar die ik doorlink naar mijn tutorial op de aankomende website van mij. Als je hem gelezen hebt wil je dan feedback sturen mbt leesbaarheid en inhoud? Veilig Includen / Get gebruiken

kenzo - 10/11/2009 10:35 (laatste wijziging 10/11/2009 11:06)
PHP beginner		Ik vind dat een beetje onzin over het niet wagen aan grotere sites... als je altijd klein blijft zul je deze fout nooit ontdekken... een simpele hobby homepage zal bijna nooit gehackt worden... zullen ze zelfs nooit proberen. Als je eenmaal begint aan een site weet je zelfs niet hoe groot hij wordt. Verder kom je pas dingen tegen naarmate je bezig bent. Ik onderdruk de fout niet, maar zorg dat de risicoplekken eruit worden gehaald, en zal daar iets anders op bedenken. Ik zal verder jouw tutorial lezen en hem beoordelen. iig bedankt daarvoor! ArieMedia schreef: [..quote..]Persoonlijk vind ik dit precies hetzelfde als een foutmelding gaan onderdrukken met @. Je weet niet hoe je een fout oplost dus zorg je er maar voor dat het niet meer gebruikt kan worden dmv het weghalen. Als je niet beschikt over voldoende kennis waag je dan niet aan grotere websites. Je kon gemakkelijk de fout er uit halen dmv PHP.net: urlencode en PHP.net: urldencode en door te controleren wat wel en niet mag. Ben jij de trotse eigenaar die ik doorlink naar mijn tutorial op de aankomende website van mij. Als je hem gelezen hebt wil je dan feedback sturen mbt leesbaarheid en inhoud? Veilig Includen / Get gebruiken weet verder toch iemand een oplossing voor deze $_GET... met urlencode en decode krijg ik die script includes nog aan het werken, en dat moet niet

ArieMedia - 10/11/2009 11:13 (laatste wijziging 10/11/2009 11:20)
PHP ver gevorderde		kenzo schreef: ...[..quote..] weet verder toch iemand een oplossing voor deze $_GET... met urlencode en decode krijg ik die script includes nog aan het werken, en dat moet niet Valt ook al heel gemakkelijk te doen met PHP.net: str_replace... Edit: Maar er zijn andere manieren.. zoals PHP.net: htmlentities of de methode die ik suggereer met een array. als je het uit een database haalt kan je het ook al heel gemakkelijk controleren door een beveiligde query uit te voeren (dus PHP.net: mysql_escape_string gebruiken) en als je geen rijen terug krijgt bestaat de pagina niet.

kenzo - 10/11/2009 11:20
PHP beginner		hier zat de fout ook nog: http://tinyurl.com/ykx2rdl bij uitgebreid zoeken kon je nog andere waardes invoeren... nu heb ik dit via urlencode proberen te vermijden... kan iemand testen of dit dus helemaal niet meer werkt? (wat ik probeer blokkeert het script nu eigenlijk allemaal)

ArieMedia - 10/11/2009 11:23 (laatste wijziging 10/11/2009 11:27)
PHP ver gevorderde		kenzo schreef: hier zat de fout ook nog: http://tinyurl.com/ykx2rdl bij uitgebreid zoeken kon je nog andere waardes invoeren... nu heb ik dit via urlencode proberen te vermijden... kan iemand testen of dit dus helemaal niet meer werkt? (wat ik probeer blokkeert het script nu eigenlijk allemaal) Het is veilig nu.. &zoek=<script type="text/javascript">window.alert('hoi');</script> Word nu niet uitgevoerd maar omgezet... Als je iets besteld dan is dit gevaarlijk omdat je met deze code <script type="text/javascript">window.alert(document.cookie);</script> iemand zijn cookie kan stelen en dingen gaan bestellen ed op zijn naam.

kenzo - 10/11/2009 11:26 (laatste wijziging 10/11/2009 14:02)
PHP beginner		ok, mooi bedankt als iemand verder nog een fout ontdekt... zou hij/zij mij deze dan willen pm'en of mailen? Vriendelijk bedankt allemaal ArieMedia schreef: Als je iets besteld dan is dit gevaarlijk omdat je met deze code <script type="text/javascript">window.alert(document.cookie);</script> iemand zijn cookie kan stelen en dingen gaan bestellen ed op zijn naam. Wat bedoel je nu? heb je nog een fout ontdekt, of was dat nog over ervoor?

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten