Autor Zpráva
MartinKloubek
Profil
Ahojky všichni,

mám velký problém, napadli mi (klientovi) stránky které jsou na profi hostingu se zabezpečením (global OFF apod.) a nevím jak.
Výsledek byl že se mu podařilo na FTP nahrát soubor index.html a tím přesměrovat vše na tuto stránku pokud jste zadali doménu.

Znáte prosím jak by se mu to mohlo podařit?

V jeho souboru byl text, že tato stránka index byla napadena PHP injection.

Jak to mohl dokázat a jak je možné ošetřit PHP na straně stránek ne serveru aby se to nestalo?
Upozornuji že MYSQL se žádné heslo o FTP nevyskutuje. Myslím tím že by napadl SQL a pak nahrál na FTP index.

děkuji moc.
llook
Profil
PHP injection. To znamená, že se mu nějakým způsobem podařilo přinutit tvůj server, aby vykonal jeho PHP kód.

Například pokud někde používáš něco jako include $_GET['page'], tak stačí, aby do parametru dal URL zdrojového kódu svého skriptu a ten se pak vloží a provede u tebe. Toto často bývá na hostingu zabezpečené tak, že je v nastavení zakázáno do include a spol. vkládat URL, ale i pak tam je možné vložit řetězec php://stdin a ten skript poslat metodou POST.
MartinKloubek
Profil
include tam sice mám, ale natvrdo. žádná proměnná ( myslím jako že to mám include("soubor.php"); )

Jak se dá zabránit tomu druhému?
díky
llook
Profil
To druhé taky staví na nějakém dynamickém include, takže to taky nehrozí. Není v kódu někde eval()?
axis
Profil
http://www.security-portal.cz/clanky/script-injection-php-remote-explo it.html - docela dobrý článek zabývající problematikou $_GET
Pavel Strejček
Profil
MartinKloubek
jestli tam je prostý FTP přístup, tak heslo je při přenosu nechráněné a kdokoliv si ho může cestou odchytit
MartinKloubek
Profil
Pavel Strejček

V kodu není nikde uveden přístup pro FTP. Myslím tím user, pass.
MartinKloubek
Profil
llook
ne žádné eval() nikde v kodu není.
Pavel Strejček
Profil
MartinKloubek
V kódu to být nemusí. K odchycení stačí, když se tam někdo přihlašuje přes FTP.
Pavel Strejček
Profil
viz http://interval.cz/clanky/bezpecnost-predevsim-secure-ftp-a-bezpecny-e mail/
llook
Profil
Pavel Strejček
To by pak nebyl "code injection", ale "password sniffing", tedy jiný typ útoku než tvrdí útočník. Je ale možný že útočník kecá.
Pavel Strejček
Profil
llook
zásada číslo 1: nikdy nevěř hackerům :-)

pokud to tam umistil přes PHP injection, tak možná by pomohlo podle času vytvoření souboru prohledat logy co se tam dělo, které stránky byly navštíveny apod.
Pavel Strejček
Profil
neškodilo by, dát sem odkaz na ten web, takhle se bavíme je v teoritecké rovině
MartinKloubek
Profil
jedná se o web

http://handypraha.cz/

pokud ta mněkdo najde díru, budu vděčný.

Martin Kloubek
Pavel Strejček
Profil
Co říkají logy?
MartinKloubek
Profil
Bohužel nic, nevím proč, ale končí 3.10 a napadeno to bylo až někdy 20.10 :(
Pavel Strejček
Profil
Těžko říct jestli je tam díra. Já jsem na to letmo koukal, ale nenapadl způsob k nabourání. Ale já nejsem hacker samozřejmě. Možná si s tím dal někdo práci a zkoušel různé metody nebo opravdu jenom odchytil heslo a teď Tě tahá za nos.
korysy
Profil *
<b>Je to Divný</b>
Ale já bych řekl že použil Slovníkoví útok To potom nemáš nejmenší šanci
korysy
Profil *
JE to Šunt nepiseto HTML
lukas.pce
Profil *
ehm trochu OT
korysy
"slovníkoví útok" trochu davat pozor ve škole by neuškodilo...
"To potom nemáš nejmenší šanci" Jak nemáš nejmenší šanci??
"JE to Šunt nepiseto HTML" - bez komentáře....
Raptik
Profil *
Mas tam takovou chybku u vyhledavani... lze tam spoustet vlastni javascript... a pres javascript se da celkem lehce includnout nejaky script....
Raptik
Profil *
jo a jeste ti jdou v kosiku editovat mnozstvi kusu se zapornejma cislama... coz dokaze udelat pekny chaos v databazi xD
Toto téma je uzamčeno. Odpověď nelze zaslat.