Hallo,

Ik kwam vandaag tot de ontdekking dat er een vreemde file op me webserver stond. img.php als je die aanriep kon je door al de folders heen brouwsen en alle file editeren.

Ik draai apache 2.0.59 wat de laatste in zijn soort zou zijn en PHP versie 4.4.4

In de FTP log is niks te vinden over zo'n bestand.

Enig idee hoe dit mogelijk is, waar ik de "bug" of het zelfgemaakte lek kan vinden?

Groet,
Dennis

kun je terughalen of dat de file op een of andere manier geupload is, filedates etc, en met php zitten we al op 4.4.7

Hallo,

Ik kwam vandaag tot de ontdekking dat er een vreemde file op me webserver stond. img.php als je die aanriep kon je door al de folders heen brouwsen en alle file editeren.

Ik draai apache 2.0.59 wat de laatste in zijn soort zou zijn en PHP versie 4.4.4

In de FTP log is niks te vinden over zo'n bestand.

Enig idee hoe dit mogelijk is, waar ik de "bug" of het zelfgemaakte lek kan vinden?

Groet,
Dennis

Heb je al gekeken of er op diezelfde web site geen scripts draaien waarin veiligheidslekken zitten? Mogelijkerwijs in hetzelfde path als het bestand img.php is neergeplaatst. Er zit eerder in een van je scripts een veiligheidslek dan in de door jou geïnstalleerde Apache + PHP.

Ik had zelf in de FTP log gekeken, maar daar is niks via verzonden.
De Apache log stond niet volledig aan (nu wel) kon alleen zien dat een IP uit BR er wat mee gedaan gehad via de error log.

De wil hette IMG.PHP maar was eigelijk phpRemoteView (title van de page).
Kan wel zeggen ENG, hiermee kun je dus ALLES doen op je PC, niet alleen kijken maar ook op alle schijven aanpassen verwijderen inzien enz....
Goed script, maar snap niet hoe dat in mijn root gekomen is en waarom er verder geen zichtbare schade is aangericht.

PHP draait nu 4.4.7

Kan trouwens in Apache noch PHP geen optie vinden om directory/folder brouwsing GOED tegen te gaan.

Dennis

je moet zoiezo remote include eruit knallen, want die shit is pure kanker.

Je moet ook openbasedir restrictions toepassen zo kun jij opgeven waar je apache users allemaal mogen komen op je systeem

Als het goed is kan dat script de files niet editten of verwijderen.
Behalve in zijn eigen home directory en eventueel de tmp partitie.

maak maar een een test bestand elders aan en probeer deze maar eens te editten of te verwijderen.
Indien dit wel lukt dan is je server zo lek als een mandje.

leuk die php shell scriptjes..
Zeker als de gebruiker apache mee krijgen...

Ik had zelf in de FTP log gekeken, maar daar is niks via verzonden.


Het meerendeel van zulk soort bestanden wordt geupload via een veiligheidslek in één van de geïnstalleerde (verouderde!) scripts. In je FTP log zal je dan dus niets vinden.

phpBB anyone? mocht je dit draaien is dat ene goede kanshebber,

als je meer wil weten over phpremoteview (er zijn ook goede non-hack related zaken mee te bedenken) kijk even hier: http://codeme.com/topic.asp?TOPIC_ID=15

waarschijnlijk heb je ergens een remote exploited script staat, kijk even voor error in je apache log, mocht je ergens een lijst zien die allemala van hetzelde ip/script komen heb je een goede kanshebber.
Mocht je een script hebben voor file uploads controleer en beveilig deze dan zeker, dit zou zo eens je exploit kunnen zijn.
en als laatste controleer als je cms/fora/wat dan ook van derden hebt draaien of er problemen bekend zijn en update deze naar de laatste versie of schakel over naar een ander systeem.