Rename Funktion

[Alice]

Ich weiss es doch selber nicht.

Ich hatte noch nicht die Zeit mich mit "Hacking" zu beschäftigen.

Jedenfalls wurden bereits in diversen Foren (auch ganz große) irgendwelche Bilder hochgeladen der Schadcode enthalten hat. Dann hat der Hacker es irgendwie (womit?) geschafft dieses Bild auszuführen. Dann wurde auf dem Server irgendwo eine PHP-Datei (ich glaube auch so etwas wie eine Shell-Datei) erstellt und der Hacker konnte einiges machen.

 

[sheel]

Mir ist auch nicht bekannt, dass ein gif von sich aus irgendwas machen könnte.

Nur wenn: Das Anzeige/verarbeitungsprogramm (Browser, PHP...) Sicherheitslücken/Fehler haben,
diese jemandem bekannt sind und der dafür spezielle gifs macht, die die Lücken ausnützen.

Da solche Probleme nach dem Bekanntwerden aber ausgebessert werden:
Immer aktuelle Versionen seiner Software haben, dann hat man kein Problem.

 

[saftmeister]

Naja, man(frau) sollte sich natürlich erstmal mit der Materie beschäftigen, bevor man irgendwas hinscripted oder -konfiguriert, nur um sich dann einigermaßen sicher zu fühlen.

Sei dir darüber bewusst, das nur vom PHP-Parser ausgeführt wird, was der auch annimmt. Der kann nur annehmen, was der Server ihm gibt. Das muss konfiguriert werden. Mittels AddType-Direktive für den Apachen.

Es könnte sich so zugetragen haben:

Angreifer hat .htaccess erstellt, die eine AddType-Direktive enthält, z.B. .gif-Dateien an den PHP-Parser zu übergeben. Diese .htaccess-Datei konnte er uploaden, weil eine Pfeife von PHP-Scripter meinte, er müsse nur gegen .php-Dateien absichern. Dann kann man natürlich auch .gif-Dateien von PHP-Parser parsen lassen - kein Problem.

Sichere den Webserver so ab, das du quasi nach White-List-Prinzip nur Dateien akzeptierst, die als Bild-Datei zweifelsfrei identifiziert werden können. Dazu verwendest du am besten getimagesize() oder mime_content_type(). Um sicherzugehen, kannst du das Bild auch gern noch mal mit imagecreatefrom*** in ein neues Bild übertragen, um dich zu vergewissern, das im Bild kein Schadcode drin ist. Im Zweifelsfall ist das Bild dann halt kaputt und kann nicht dargestellt werden - was immer noch besser als die Alternative ist.

 

[aGeNET]

Moin,

wir haben das in unserer Software wie folgt gelöst (.htaccess):

SetHandler send-as-is

Damit werden zb PHP-Dateien aus dem Verzeichnis (hier auch ein images-Verzeichnis mit 777) bei Aufruf direkt wieder zum Download angeboten anstatt sie auszuführen ... vielleicht hilfts ja weiter.

Grüße

 

[saftmeister]

bei Aufruf direkt wieder zum Download angeboten anstatt sie auszuführen

Und das hältst du für eine gute Idee? Ich weiß ja nicht...

 

[aGeNET]

Moin,
gut ist die Idee sicher nicht aber der Zweck heiligt ja bekanntlich die Mittel. Ich hab das in dem Post vllt. auch zu unklar beschrieben ... folgendes Szenario:

Sollte es jemandem widererwarten gelingen eine PHP-Datei oder eine als Bild "getarnte" PHP-Datei in das Verzeichnis hochzuladen und der Angreifer versucht die Datei auszuführen, dann bekommt er nur seine eigene hochgeladene Datei wieder zum Download angeboten. Die realen Bilder aus dem Verzeichnis werden normal angezeigt.

Grüße