Plötzlich eine neue index.php ?

[axelcool]

Hallo,
ich stehe vor einem Fragezeichen, ich habe ua. einen Webspace bei 1u.1 wechsele regemässig mein
Passwort (FTP) usw, und hatte aufeinmal eine neue Index-Datei (PHP) die auch noch das Orginal überschrieben hat.

Der Inhalt des Kuckuckei's lautet:

[align=center]-=[Page Temporaly Off-Line]=-[/align][align=center][/align][align=center][/align][align=center]??? DarkbiteX Was Here!!![/align][align=center]Sorry Admin, Your Security Its BAD[/align][align=center]It Does Not Erase Archives[/align][align=center][/align][align=center][/align][align=center][/align][align=center]-=[SALUDOS ESPECIALES]=-[/align][align=center]OverclockiX , 0o_Zeuz_o0, Status-X, Usermaster, Naonack, Good-spide Defacing Interaktivo Tabasco Mexico Presente. Copyright? 2006 by darkbitex[at]gmail.com[/align][align=center][/align]

Mir ist es ein Rätzel wie das bewerkstelligt worden ist?
Was kann ich tun um sowas zu verhindern?
Was mach ich Falsch?
Wie muß ich den Webspace RICHTIG ABSICHERN?

 

[Oi!Alex]

wenn man im google so schaut nach dem namen findet man ein paar einträge
http://www.lohsa.de/umfragen/poll.php
http://www.kristin-heller.de/
sieht so aus als ob er programmier fehler ausnutzt in den php files... (include injections evtl.)

*edit*
http://www.phppc.de/phpnc/news.php?nc_action=com&nc_news_id=25
Datum: 21.02.2006 01:17 von DarkbiteX
I Have New Bug in Php Poll Creator

 

[m1ndless]

lustig

Aber zu deiner eigentlichen Frage:

Deinen Webspace absichern kannst du so nicht bewerkstelligen. Das muss der Administrator des Servers machen.
Aber wenn du PHP-Dateien verwendest, kannst du diese Absichern.
Wenn du die Seiten selbst geschrieben hast musst du erst einmal darauf achten, dass alle Eingabefelder (auch versteckte) richtig abgesichert sind. Damit kein XSS oder eine HTML-,SQL- bzw PHP-Injection möglich ist. Dies kann man z.B. durch Maskierung von Sonderzeichen erreicht werden oder man schließt die Sonderzeichen sogar ganz aus, wo sie nicht benötigt werden.
Frei nach dem Motto "Traue nie irgendwelchen Werten, die vom User kommen".
Ein weiterer wichtiger Aspekt ist das Includieren von PHP-Daten. Wenn das schlampig bzw grob fahrlässig programmiert wurde, kann man auch schnell Probleme bekommen.

Ein Beispiel wie man es nicht machen sollte:

<?php
       include($_GET['page'])
?>

Besser (Ein Includieren mit Whitelist-Überprüfung):

<?php
    $files = array('page1.php','page2.php','page3.php');
    if (in_array($_GET['page'],$files))
        include ($_GET['page']);
    else
       echo 'Zugriff verweigert!';
?>

Da gibts noch viel mehr Dinge die man beachten sollte, aber hier alles aufzuzählen würde wohl den Rahmen sprengen (Da gibts ganze Bücher zu diesem Thema). Ich könnte auch mal ein Tutorial über sichere PHP-Programmierung schreiben... wenn da Interesse besteht... :]
Wenn du selber PHP programmierst, solltest du dich unbedingt mit dem Thema "PHP-Sicherheit" beschäftigen!

Wenn du aber ein fertiges PHP-Script aus dem Netz geladen hast (Gästebuch, Portal, Forum, usw), achte auf Updates und ob Sicherheitslücken in deiner verwendeten Version bekannt werden und wie man diese schließt.

Was sonst noch passiert sein könnte wäre, dass er deinen FTP-Account geknackt hat und einfach nur seine Dateien hochgeladen hat.
Wie sicher war denn dein PW? Hatte es min. 8 Zeichen, bestehend aus Zahlen, Buchstaben und Sonderzeichen?

Musst schon mehr Infos rausgeben, was war auf dem Webspace, bei welchem Anbieter bist du, sind alle anderen Dateien weg oder wurde nur etwas geändert, usw....
Denn es führen viele Wege nach Rom
Und ohne weitere Infos gibt es min. 10 Möglichkeiten, wie er das geschafft haben könnte...

 

[ERit]

dadurch, dass es ein webspace eines anbieters ist, der doch bekannt ist, lassen diverse leute mal bots drüberlaufen, die die url generieren bzw. und nachsehen, ob die datei infizierbar ist. ist dies vo einem anbieter bekannt (betrifft dann alle anderen webspaces genauso) ist es nur mehr ein kinderspiel ...
im bezug auf die passwortänderungen des ftp accounts ... kann dir mit großer sicherheit sagen, dass das kaum der fall war, denn einen account dieser art zu knacken erfordert viel zeit, und dass tut sich heute kein normaler mensch mehr an (bzw. gibt eben einfachere methoden um ans ziel zu kommen)
natürlich gibts sowas genauso noch z.b. bei msn accounts, wo halt jemand deine geheime antwort errät und dann dein pass bekommt ... also, die oben angeführten vorschläge mal durchdenken, und vielleicht ab und zu mal pass ändern, was ich nicht sonderlich sinnvoll finde, aber immer noch schutz bietet.
lg

 

[m1ndless]

Hmm.... also ich würde das erst einmal mit einer Dictionary-Attack beim FTP-Account probieren. Hin und wieder funktioniert das nämlich noch
Auch wenn es nicht besonders elegant ist, ist manchmal doch der schnellste und einfachste Weg sein Ziel zu erreichen... (falls jetzt jmd damit kommt, dass man das hätte schöner lösen können).
Und da es ja jmd war, der einfach nur j4f die Seite zerstören wollte, wäre auch denkbar, dass es ihm egal ist wie er das anstellt. Von daher finde ich, dass das knacken des FTP-Passwortes ein möglicher Ansatzpunkt wäre wie er die Seite verändert hat...

 

[2Bios]

@m1indless: afair hat 1und1 aber bei ihren ftp-accounts einen zufälligen nutzernamen (u223487623 war mal einer von mir). vondaher frage ich mich, woher der hacker den username haben soll

 

[m1ndless]

das is ein argument
aber denoch bekommt man den des öfteren heraus... da der username meistens in der Subdomain steht

 

[Oi!Alex]

naja also ein ftp hack würde ich zu 99.9999% ausschliesen, warum? ganz einfach wie oben schon geschrieben sucht mal nach den namen von dem "hacker" sieht mehr aus wie ein script kiddie der exploits ausnutzt in bekannten php-modulen (umfragen usw.)

*edit*
hab noch mal kurz nachgedacht und muss meine aussage revidieren - script kiddie ist er wohl sicherlich nicht - warum? er hat durch die änderung der index datei dich darauf aufmerksam gemacht - er hätte ja auch alles löschen können oder dein webspace missbrauchen können usw. - ein script kiddie hätte seine anschrift incl. telephone nr. hinterlassen und auf deutsch geschrieben wie doof du doch bist und alle daten wären vom server gesewesen

 

[[starfoxx]]

Ich denke da hat entweder der Spaceanbieter geschlampt (dann evtl wechseln) oder du hast irgendwelche BUGs im PHP... muss ja nicht von dir sein.

Und nichtmal englisch können die Kinder... "Sorry Admin, Your Security Its BAD"
Wir könnten die gmail adress in 2-3 spamserver füttern... *pfeif*

Original von m1ndless
Hmm.... also ich würde das erst einmal mit einer Dictionary-Attack beim FTP-Account probieren. Hin und wieder funktioniert das nämlich noch Auch wenn es nicht besonders elegant ist, ist manchmal doch der schnellste und einfachste Weg sein Ziel zu erreichen...

Nette Idee, nur sind da die vorbereitungen wohl nicht eingerechnet.
Also ich gehe mal nicht davon aus dass du von zuhause aus (mit oder ohne proxy) nen ftp von nem freespace "unternehmen" brutest. illegal usw.

Original von OI!Alex*edit*
hab noch mal kurz nachgedacht und muss meine aussage revidieren - script kiddie ist er wohl sicherlich nicht - warum? er hat durch die änderung der index datei dich darauf aufmerksam gemacht - er hätte ja auch alles löschen können oder dein webspace missbrauchen können usw. - ein script kiddie hätte seine anschrift incl. telephone nr. hinterlassen und auf deutsch geschrieben wie doof du doch bist und alle daten wären vom server gesewesen

Naja... ich finds so schon kindisch genug.
Ferner könnte der Angriff nicht Menschlich ausgeführt worden sein...
(man bedenke, ein Bug im System = x1000 hackbare accounts)

 

[2Bios]

ups