# Werd ich gehackt?



## Schiwi (6. Februar 2008)

Moin leute,

wenn ich so die logs von meiner Webseite durchgehe, finde ich oft Einträge wie diesen hier,

87.238.28.137 - - [06/Feb/2008:05:34:13 +0100] "GET /index.php?page=schnipp? HTTP/1.1" 200 13917 "-" "libwww-perl/5.79"

in der Textdatei steht dann ein PHP Code,  versteht jemand den Code und kann mir sagen was die vorhaben und wie ich mich schützen kann?

Sowas find ich immer wieder in meinen logs, so lang wie dieser war aber bisher  noch kein Code.

[Link entfernt von Maik, da offensichtlich ein Virus]


Ich wollt den Code erst hier einfügen, waren aber zuviele Zeichen... 

Gruß Schiwi


----------



## shader09 (6. Februar 2008)

wenn ich den Link anklicke, Meldet sich mein AntiVir.


----------



## shader09 (6. Februar 2008)

Hab da mal noch Frage zu,
speicherst du jeden Besucher deiner Seite oder machst du ein LOG nur
bei Anmeldungen.


----------



## merzi86 (6. Februar 2008)

Bindest includest du die Seite, die per ?page weitergegeben wird?
Wenn ja hast du ein Schutz, der verhindert, das man von außen Seiten einbinden kann


----------



## Gumbo (6. Februar 2008)

Schützen kannst du dich, indem du verhindest, dass diese Quellcode auf deinem Server ausgeführt wird. Dazu reicht es die Werte des „page“-Arguments zu prüfen und nur erlaubte Werte zuzulassen.


----------



## Navy (6. Februar 2008)

Welche Art von Server nutzt Du (OS, Webserver, Datenbank, PHP-Version, etc)?

Kommen diese vermeintlichen Angriffe oft hintereinander? Hast Du dich schon mal mit der Absicherung von (Web)Servern auseinander gesetzt?


----------



## Schiwi (6. Februar 2008)

> wenn ich den Link anklicke, Meldet sich mein AntiVir.





> [Link entfernt von Maik, da offensichtlich ein Virus]



komisch, ist doch nur ne *.txt mit phpcode inside ... ?

ich hab
allow_url_include	Off

in der php.ini, wollt aber nochmal nachfragen ob das reicht.

Was der code darin genau macht hat wohl keiner von euch rausfinden können?
das interessiert mich nämlich hauptsächlich


----------



## Flex (6. Februar 2008)

Die Meldung von AntiVir wäre natürlich interessant, wobei ich vermute, dass es sich um eine Art von PHP Shell Virus handelt.

Könntest du mir die .txt vielleicht einmal zeigen?
http://paste.flexmex.net 
Da könntest du es kurz hochladen.


----------



## Schiwi (6. Februar 2008)

Felix Jacobi hat gesagt.:


> Die Meldung von AntiVir wäre natürlich interessant, wobei ich vermute, dass es sich um eine Art von PHP Shell Virus handelt.
> 
> Könntest du mir die .txt vielleicht einmal zeigen?
> http://paste.flexmex.net
> Da könntest du es kurz hochladen.



http://paste.flexmex.net/pastebin.php?show=56

bidde sehr


----------



## Azi (6. Februar 2008)

Hi,

das ist r57shell, wenn die auf deinem Server liegt, wurdest du sehr sicher gehackt.

Lösche diese und am Besten stellst du die Seite erstmal offline, such nach der Sicherheitslücke, beheb diese, und dann kannst du die Seite wieder online stellen.

Viel Glück!

Azi

P.S.: Wär das nicht besser im Security-Forum aufbewahrt?


----------



## Schiwi (6. Februar 2008)

Azi hat gesagt.:


> Hi,
> 
> das ist r57shell, wenn die auf deinem Server liegt, wurdest du sehr sicher gehackt.
> 
> ...




die liegt ja nicht auf *meinem* server, sondern wird per GET an meine index.php gehängt


----------



## Azi (6. Februar 2008)

Na denn achte darauf, dass die Dateien, die per GET übergeben werden, auf deinem Server liegen.
Das kannst du z.B. erreichen, indem du an der Stelle, an der du $_GET['deinParameter'] benutzt, ein "./" vorne dranhängst.

Azi

P.S.: Stell am Besten auch allow_url_fopen in der php.ini auf "off"


----------



## Schiwi (6. Februar 2008)

gut, werd ich mal drauf achten.

aber was genau macht denn dieses script? mein php reicht noch nicht aus um da durchzusteigen...


----------



## Azi (6. Februar 2008)

Das Script bietet dem Hacker eine Art Verwaltungstool für deinen Server:
Er kann je nach Konfiguration Befehle ausführen, Dateien anschauen, hochladen, ändern, löschen... Mehr als dem Webmaster lieb ist.

Also, viel Glück nochals. Wenn du die Lücke nicht behoben bekommst, kann ich dir gern helfen.

Azi


----------



## Schiwi (6. Februar 2008)

Azi hat gesagt.:


> Das Script bietet dem Hacker eine Art Verwaltungstool für deinen Server:
> Er kann je nach Konfiguration Befehle ausführen, Dateien anschauen, hochladen, ändern, löschen... Mehr als dem Webmaster lieb ist.
> 
> Also, viel Glück nochals. Wenn du die Lücke nicht behoben bekommst, kann ich dir gern helfen.
> ...



ich weiß ja gar nicht ob ich überhaupt ne lücke habe, ich weiß nur das sie es versucht haben, aber nicht ob es geklappt hat.
Sonst hab ich nichts ungewöhnliches gemerkt, es fehlt nichts, es ist nichts zuviel und verändert wurde auch nichts.

simplexml-load-file und file_get_contents gehen nicht mehr wenn ich allow_url_fopen aus mache, darauf möcht ich eigentlich nicht verzichten...

naja, mal schaun was in den nächsten tagen noch passiert, ich geh erstmal davon aus das sie es nicht geschafft haben.

gruß Schiwi


----------



## EuroCent (6. Februar 2008)

Wenn die das Script bei dir auf den Server geladen bekommen haben dann hat es geklappt und genau das ist die Sicherheitslücke


----------



## merzi86 (6. Februar 2008)

Poste uns doch mal hier den Teil wo dein Content eingebunden wird.
Der Hacker hier anscheinend auf diese Stelle abgesehen.


----------



## Schiwi (6. Februar 2008)

danke Lenox fürs aufmerksamme lesen, ich hatte bereits geschrieben das der code *nicht* auf meinem server ist.

meinst du sowas, merzi?


```
if ($_GET['seite'] == "") {

	if (file_exists("/var/www/$monat.html")) {
	include ("/var/www/$monat.html");
}
}

if ($_GET['seite'] == "Januar") {

	if (file_exists("/var/www/Januar.html")) {
	include ("/var/www/Januar.html");
}
}
```
usw.


----------



## Azi (6. Februar 2008)

War der Code auch vorher so?
Wird der Parameter $_GET['seite'] auch woanders benutzt?
Ist der Paramter, wo das böse Script angehangen wird, auch $_GET['seite']?


----------



## Neurodeamon (7. Februar 2008)

In meinem PHP-Honeypot laufen täglich viele, viele solcher Versuche ein. Soweit ich nachvollziehen konnte gehört der ganze Spaß zu einem Botnetz. Die infizierten Server liegen weltweit auf jeglichem Webspace dessen PHP-Scripte externe Dateien einlesen lassen.
Mir ist sogar schon der Webserver einer italienischen Web Security Firma aufgefallen, denen war das nicht aufgefallen bis ich mal ne Mail schrieb 

Achja, falls jemand Interesse hat ... Ich habe sicher schon 30-40 unterschiedliche PHP-Backdoors/Trojaner/Shells/usw gesammelt


----------

