php shell "gefunden"... was tun

  • Themenstarter Themenstarter IsNull
  • Beginndatum Beginndatum
I

IsNull

Guest
moin,

Ich unterhalte u.a. ein phpbb3 Forum - und da wollte mich so ein 1337 einfach h4x0rn :rolleyes:

Naja, ist ihm (noch) nicht gelungen *gg*

Ich habe jetzt jedenfalls seine "shell" (*g*) und mich würde wundern, ob die dem phpbb3.0 überhaupt gefährlich werden kann. Kann ich diese php Datei z.B. an die entwickler von phpbb schicken, damit die es dagegen schützen?

Hat da einer Erfahrung? Oder kann sich das mal einer anschauen?

Die shell habe ich angehängt. verschlüsselt. - Pw ist der Membername des kürzlich verabschiedeten Special Members...(hoffe das passt so)

Danke & Gruss
IsNull
 
Hallo,
natürlich kann sie dir Gefährlich werden, und nicht nur dem phpBB.
Du kannst mit so schnell z.B. die config Datei des phpBB auslesen und so an das MySQL PW kommen und ähnliche Spielerreien.

Der beste Schutz gegen sowas, ist die Shell Funktionen (system, exec) etc. in PHP zu deaktivieren.
Entweder direkt in der php.ini oder per extra php.ini, sofern möglich.
Mehr dazu im Heise Artikel, 'PHP Grundsicherung' (Lesenswert!)
 
das is meine shell o.O die kennt doch kaum einer *verwundertbin*

und ich hab auch mit deinem forum (das ich heute kennengelernt hab) nichts am hut *gg*

Wie hast du denn bemerkt / wie hat er versucht die shell da zu uppn? (das dürfte die entwickler eher interessieren. ;))

grüße

//edit da wurd ja nichtmal das die; in der zeile 2 entfernt. wie soll das denn schaden?^^ *g*
 
PHP Grundsicherun
Zum Vergrößern anklicken....
werde ich mir bald als möglich ansehen. htaccess usw. sind jedenfalls schon am laufen :)

@PapaJanus:
sag blos noch, deine dl page hat ein google design. 8o (ziemlich schlank, eben fast wie google, dafür aber noch zwei downloads... die shell und "bfix"... mit source )

Edit:

//edit da wurd ja nichtmal das die; in der zeile 2 entfernt. wie soll das denn schaden?^^ *g*
Zum Vergrößern anklicken....
Das hat mich auch verwundert. Zumal es sogar noch einen comment zum entfernen gibt :rolleyes:
 
hmpf. japp. das ist meine seite. ich ahne was. *g* also das war dann wohl kein hackerangriff sondern mehr das "webseite" feld im profil. ;)

naja keine angst, das ist für das phpbb team weniger interessant. :)

schmunzelnde grüße
 
Original von PapaJanus
hmpf. japp. das ist meine seite. ich ahne was. *g* also das war dann wohl kein hackerangriff sondern mehr das "webseite" feld im profil. ;)

naja keine angst, das ist für das phpbb team weniger interessant. :)

schmunzelnde grüße
Zum Vergrößern anklicken....
jap. :D

Aber wie kommt deine "unbekannte" Site dort hin... (noch mit tiny gestealthet), Ich meine, hast du dich dort registriert? (dann wärst du jetzt gelöscht...^^)


Langsam wirds peinlich :D
 
Hallo,
Original von IsNull
PHP Grundsicherun
Zum Vergrößern anklicken....
werde ich mir bald als möglich ansehen. htaccess usw. sind jedenfalls schon am laufen :)
Zum Vergrößern anklicken....
.htaccess bringt nur bedingt etwas, viel besser ist es wenn man alle unwichtigen Funktionen deaktiviert.
Besonders diese Shell-Funktionen werden eigentlich nie verwendet, warum also nicht direkt deaktivieren?
So eine Shell kann verherrend sein, der User bekommt das MySQL PW und damit freien Eintritt zu deiner DB.
Er kann Dateien beliebig verändern usw.

Deswegen, wie gesagt, möglichst viele Funktionen deaktivieren:
Dazu hier mehr

Optimal wenn man folgende Funktionen deaktiviert:
Shell:
exec,system,passthru,shell_exec,escapeshellcmd,proc_open,proc_nice,ini_restore,popen

Dateisystem:
mkdir, rmdir, rename, unlink, copy, chgrp, chown, chmod

Dateien lesen
highlight_file, show_source, fopen, file, readfile, file_get_contents, file_ put_ contents, fgets, fwrite

Netzwerk
fsockopen, pfsockopen

Natürlich muss man drauf achten, welche Dateien evt. das phpBB braucht, aber je restriktiver umso besser.
Wenn man aber die Shell-Funkt. abstellt, hat man schon viel gewonnen
 
Danke für deine Infos. Ich habe mir mal die standard php-config angesehen, und viele der untenaufgefürten punkte sind schon in der Masterconfig sicher eingestellt. Zudem ist der Suhosin Patch auf dem Server installiert.

Ich lade nun aber mal diese php.ini in sämtliche Verzeichnisse des Forums.. aber wahrscheinlich gibts Probleme mit der Cache-Funktion des neuen phpbb3... mal schauen :)

Gruss
IsNull
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben