eerder topic   volgend topic
  
Site gehackt?
19 februari 2008 - 21:57   
geplaatst door: DTP2
Heb ik met mijn zeer beperkte kennis een leuke en functionele site (www.studio-canvas.nl) voor de baas opgezet met een uploadfunctie, staat er vanavond een jpg in de map op de server bij mij hoster waarin staat dat de site gehackt is door een Islamitische groep met een wat dreigende website (wat mij deed besluiten dat het niet verstandig was daar beetje boze berichten te gaan plaatsen en zeker niet omdat mijn achternaam bij het ip-adres op die site stond). Ik natuurlijk alle code doorspitten, maar daar is niets mee aan de hand. Wat mappen en php files hernoemd om de eerste "dreiging" weg te nemen. Vroeg ik mij toch af wat er nou aan de hand zou zijn. Dus ik die jpg eens beter bekijken. Nu blijkt dat dat een Arithmetic coded file is en als ik wat zoek, lijkt dat op een virus of een brokje code.

Kan iemand mij vertellen of ik dat veilig en zo ja waarmee kan bekijken om te zien wat ze van plan waren?

Site gehackt?
19 februari 2008 - 22:44    reactie #1
geplaatst door: Calvin
of je gehacked bent zal afhangen van waar die file staat, als het een open upload dir is, is er niets aan de hand.

Is het een directory waar je normaal niet mag schrijven, dan heb je een probleem.
Als je denkt dat het een jpg is met een verborgen boodschap zou je het naar de politie kunnen brengen. Het is bekend dat er verborgen boodschappen in een jpg kunnen zitten.

Met java proggen kun je het decoden, ik weet alleen niet of je een key ofzo nodig hebt. Kun je file via een PM naar me toezenden?

hier kun je er meer over lezen: http://domino.watson.ibm.com/tchjr/journalindex.nsf/0/af17c5ef1adec54f85256bfa0067f724?OpenDocument

(Bewerkt door Calvin om 22:48, 19-02-2008)

(Bewerkt door Calvin om 22:51, 19-02-2008)

-= Back by popular demand =-
GetdropBox.com
Site gehackt?
20 februari 2008 - 22:22    reactie #2
geplaatst door: DTP2
Nog iemand?
Site gehackt?
20 februari 2008 - 22:50    reactie #3
geplaatst door: DomP
Grote kans dat een van de andere site's op je server gehackt is. Dit is een vaak voorkomend probleem met virtual hosting :/
Ik zie dat er 101 andere site's op de server staan dus mail je hosting provider even. Zou me trouwens verbazen als ze toegeven dat de server gehackt is ;)

De komende dagen goed de site in de gaten houden, dit soort gasten zetten er vaak iframes op met allerlei virus troep.

Succes!

Blow your mind, smoke gunpowder
Site gehackt?
21 februari 2008 - 10:15    reactie #4
geplaatst door: mvdg
Tja als je een upload mogelijkheid maakt kunnen mensen dingen uploaden. Daar moet je dan dus niet raar van staan te kijken. Waar je altijd op moet letten, is dat het programma niet zodanig misbruikt kan worden dat files op andere plekken terecht komen. Bijvoorbeeld: je hebt een map /upload waar de bestanden in moeten komen. Als ik nu het systeem op de een of andere manier zo gek kan krijgen om een bestand op te slaan dat ../index.html heet dan zou ik dus jouw index.html die BUITEN de uploadmap staat kunnen overschrijven! Oplossing om dit te voorkomen: op geen enkele manier de uploader invloed geven over de naam/locatie van het bestand.
Vergelijkbaar: sta niet toe dat een .php, .php3, .php4, .php5 bestand wordt geupload. Dat zou dan immers meteen uitgevoerd worden wanneer de uploader het bestand weer opvraagt!!!!
In zijn algemeenheid plaats je bestanden dus buiten het gedeelte dat je via internet kunt opvragen en/of zorg je voor andere namen.
Mitch Design : websites en interactieve toepassingen : http://www.mitchdesign.nl
Site gehackt?
21 februari 2008 - 11:58    reactie #5
geplaatst door: barthelomeus
Even uit nieuwsgierigheid, heb je gebruik gemaakt van JOOMLA/MAMBO?

Hiervan hoor ik verscheidene berichten uit mijn omgeving waarbij ongeveer hetzelfde is gebeurd.


Bart
Site gehackt?
21 februari 2008 - 16:22    reactie #6
geplaatst door: Blender

Citaat
barthelomeus om 11:58, 21-02-2008
Even uit nieuwsgierigheid, heb je gebruik gemaakt van JOOMLA/MAMBO?

Als je naar de site kijkt zie je dat het geen Joomla! is.
Het is niet de bedoeling dat mensen bij een gehackte site meteen
aan Joomla! gaan denken. Het is namelijk onzin.
Geen enkel CMS is 100% veilig en zeker niet als je de laatste
patches niet gebruikt. Vaak worden problemen veroorzaakt door een
combinatie van (slecht gemaakte) externe modules en foutieve
server-instellingen.

Site gehackt?
21 februari 2008 - 16:33    reactie #7
geplaatst door: DTP2
Zoals hier boven staat. Nee, ik heb mijn site met Freeway Pro gemaakt. Dat gedeelte is niets mis mee, maar voor het uploaden maak ik gebruik van een php-script die ik middels een iFrame op de site laat zien. In dat script zit hem nou het probleem. Op die manier kunnen er dus ook gewoon dit soort bestanden op de webspace gezet worden.

In de html code van de site zelf is voor zover ik heb kunnen zien helemaal niets aan de hand.

Site gehackt?
21 februari 2008 - 16:56    reactie #8
geplaatst door: mvdg
Zo moeilijk is dat dan toch niet? Ik heb de oplossing al aangegeven: zorg dat je de bestanden die worden geupload ERGENS ANDERS opslaat. Dus buiten de 'www' map van de server. Op die manier kun jij er nog wel bij, maar zijn ze niet te bereiken (aan te roepen) voor mensen die er kwaad mee willen.
Mitch Design : websites en interactieve toepassingen : http://www.mitchdesign.nl
Site gehackt?
21 februari 2008 - 20:07    reactie #9
geplaatst door: Thomas
Ik heb even naar je script gekeken en sowieso geef je heel veel informatie weg die het een hacker wel erg makkelijk maakt. Houd liever stil waar je bestanden terecht komen en hoe ze heten, zeker bestanden van anderen kunnen bekijken lijkt me niet de bedoeling.

Verder staat je upload.php in een map waarin de webserver kennelijk kan schrijven, dat is niet handig.
Je doet geen input validatie op de string die wordt weergegeven bij succesvolle upload waardoor je XSS aanvallen kan verwachten.

Zo kan je bv naar deze url gaan en de uploads van anderen verwijderen:
http://www.studio-canvas.nl/oplaad/oplaad.php?message=%3CTABLE%3E%3CTD%20BACKGROUND=%22javascript:alert('XSS')%22%3E

je kan ook willekeurige andere PHP scripts uploaden en uitvoeren, ik zal het maar niet voordoen..
Kortom: je code is lek!

nog 1 dingetje:

Code: [Selecteer]

//Allow file delete? true, if allow upload and delete
$DELETABLE  = no;

Dat snapt PHP niet, althans, DELATABLE = no ; dan is dat gelijk aan DELETABLE = true. je bedoelt ws false. Maar gezien de verdere problemen is dit misschien niet prioriteit 1.

(Bewerkt door Thomas om 21:26, 21-02-2008)

Wat ik hier uitkraam is puur mijn persoonlijke mening.
Site gehackt?
21 februari 2008 - 20:31    reactie #10
geplaatst door: DTP2
Als je weet waar je het over hebt, zal het ongetwijfeld heel simpel zijn. Zoals ik al aangaf, is mijn kennis heel beperkt en zal ik mij moeten redden met de scripts die ik op internet kan vinden en zelf kan aanpassen. Of iemand moet een heel erg simpele manier weten die ook ik snap en die de beveiliging een heel stuk beter maakt.

In die map moet je toch kunnen schrijven, wil er iemand in kunnen uploaden?

p.s. aub niemand foto's verwijderen via voorgaande link :crazy:

(Bewerkt door DTP2 om 20:33, 21-02-2008)

Site gehackt?
21 februari 2008 - 21:35    reactie #11
geplaatst door: Thomas
Misschien moet je nu eerst even de bestaande oplossing offline halen. Dan kan je daarna rustig opzoek naar een betere oplossing.
Er zijn redelijk goede kant en klare scripts, en in de comments hier boven zijn ook al goede ideeen genoemd.

Een paar extra tips vind je hier:
http://php.about.com/od/advancedphp/qt/upload_security.htm
(maar eigenlijk nog steeds meer een kleine barriere dan echt veilig)

Wat je eigenlijk wil doen:
1- Files uploaden naar een directory waar de webserver niet bij kan dus bv /var/jouwaccount/upload als je site in /var/jouwaccount/www staat
2- random file name nemen, nooit door de user laten opgeven
3- alleen alfanumerieke karacters toestaan in de filename (in het script checken)
4- de delete functie afschermen

Misschien kan je het makkelijker oplossen door de pagina de file aan jou te laten mailen?
Haal iig alle files die je binnenkrijgt eerst even door een virusscanner, of open ze met een teksteditor zoals Smultron om te kijken of het echt een plaatje is (en niet een virus/trojan)


Wat ik hier uitkraam is puur mijn persoonlijke mening.
Site gehackt?
21 februari 2008 - 21:54    reactie #12
geplaatst door: Cailin Coilleach
Of zet een FTP/SCP server op, met een account dat alleen gebruikt kan worden om files te deponeren in één specifieke locatie.

Dat kost soms best veel moeite, maar daarna is het ook nagenoeg helemaal veilig, zonder veel omkijken.

Site gehackt?
22 februari 2008 - 09:43    reactie #13
geplaatst door: mvdg
@DTP2: Je geeft aan dat je er zelf niet voldoende kennis van hebt om een veilig systeem neer te zetten. Aangezien het voor een zakelijke toepassing is, zou mijn logische conclusie dan zijn: laat het doen door iemand die er wél voldoende verstand van hebt. Je hóeft het immers niet zelf te doen. Nu zit je met een onveilige situatie en is het in feite wachten tot er wat echt mis gaat..
Mitch Design : websites en interactieve toepassingen : http://www.mitchdesign.nl
Site gehackt?
22 februari 2008 - 11:44    reactie #14
geplaatst door: Cailin Coilleach
En dus tot jij er op aan wordt gesproken, met mogelijk een law suit.

Nee... /me is met mvdg: wat je zelf niet kan, laat een ander dat doen. Die doet het sneller en beter. Goed werk is wel wat geld waard.

Site gehackt?
22 februari 2008 - 15:14    reactie #15
geplaatst door: DTP2
En? Zo al iets beter?

Oh ja, vergat te reageren op de laatste, geheel terechte opmerkingen. Inderdaad ieder zn vak en het zou veel beter zijn iemand met kennis daar aan aan het werk te zetten. Maar, zoals altijd is er een maar. Het ziet er misschien wel uit alsof er miljoenen verdiend worden :tounge: maar voorlopig moeten alle investeringen eerst maar eens terug verdiend worden voordat er geld uitgegeven kan worden aan een, op zich goed functionerende maar enigszins lekke, site.

(Bewerkt door DTP2 om 15:33, 22-02-2008)

Site gehackt?
28 februari 2008 - 14:59    reactie #16
geplaatst door: Matthijs1982
Als ik het goed begrijp kan iedereen in de map komen. Wat je moet doen is alleen php rechten geven om in de map te schrijven. Heb je de map CHMOD 0777 gegeven met je FTP programma?
Zo ja, dan kan je het beste de map verwijderen (wel evende bestanden backuppen) en dan met een PHP script een map aanmaken. Zo heb je wel upload rechten, maar wel op een veilige manier voor de server.
Onderstaand het script om een map aan te maken met php.

<?php
mkdir ("NAAM_VAN_DE_MAP", 0755);
?>

Als je niet wilt dat iemand andere bestanden kan uploaden dan bijvoorbeeld JPG, moet je dit met een functie in php laten controleren voordat het bestand daadwerkelijk ge-upload wordt.

(Bewerkt door Matthijs1982 om 15:00, 28-02-2008)

(Bewerkt door Matthijs1982 om 15:02, 28-02-2008)

Site gehackt?
29 februari 2008 - 08:28    reactie #17
geplaatst door: Thomas
Matthijs: dan heb je nog niet opgelost dat je met het PHP script elk gewenst bestand kan uploaden naar de server, bestanden van anderen kan bekijken, cross site scripting mogelijk is...
Wat ik hier uitkraam is puur mijn persoonlijke mening.
Site gehackt?
29 februari 2008 - 20:09    reactie #18
geplaatst door: Jan H
ik zou zoiezo je bestanden chmoden naar 664 zodat niemand execute rechten heeft ;)
You don't switch to a mac, You upgrade to a mac!
  
eerder topic   volgend topic