XSS behatolás?

Sziasztok,

 

köszi mindenkinek a választ. Bocsánat, hogy csak burkoltan írtam, hogy minden egyéb lehetőséget kizártunk, az első volt az FTP lecserélése SSH-ra, és jelenleg egy kezem is sok megszámolni, hány gépről férünk hozzá a szerverhez (a rendszergazdát leszámítva).

Ám ezután is két behatolásunk volt, és az egyik konkrétan egy .js állományt írt át, de épp úgy, mint amikor az index.php-t, vagyis egyszerűen csak másik, rejtettebb helyet talált a kódjának. A legutolsó pedig simán egy redirect sorra cserélte az index.php-t és a .htaccess-t is egyetlen sorosra írta át.

Érdekes módon a korábbi behatolásoknál az érintett fájlok ownere www-data-ra módosult, ami elvileg a PHP-t (is) jelenti, vagyis az átírást esetleg egy php szkript hajtotta végre. A legutolsó alkalommal viszont maradt az én "tulajdonomban" mindkét fájl, és ez már elég gázos. A gépem vírusmentes, és nem tudom, az ssh-kliens (WinSCP) feltörhető-e, hogyan kell ilyen jogosultságot lopni.

Ha ez esetleg segít még tippelni, ne kíméljetek.

 

Üdv:

Balázs

Sziasztok!

 

A másik tippünk, bár gyanítom, ez sem túl esélyes, az sql-injection. Elvileg (és gyakorlatilag) minden DB-be írás előtt szűrjük és konvertáljuk az adatokat, de talán mégis van valahol egy elfelejtett lyuk, nem tudom. 

 

Illó Gábor írta:

2009/10/5 Balázs Házi hbalazs@...:
  

Sziasztok!

Mivel a téma továbbra is a biztonság lenne, csak egy másik versenyzővel, ezt
a szálat folytatnám, ha nem gond. A múltkori XSS-kérdésemre adott minden
válasz azt erősítette meg, hogy nem a program a gond, XSS-típusú
behatolással nem lehet azt okozni, amit az első levélben részletesen
megírtam.
A másik tippünk, bár gyanítom, ez sem túl esélyes, az sql-injection. Elvileg
(és gyakorlatilag) minden DB-be írás előtt szűrjük és konvertáljuk az
adatokat, de talán mégis van valahol egy elfelejtett lyuk, nem tudom. A
kérdés: ennek a sérülékenységnek a kihasználásával van-e elvi és gyakorlati
lehetősége annak, hogy valaki, akár php szkript futtatásával, akár máshogy,
átírjon egy fájlt a docroot-ban, beleírva egy kártékony JS-kódot (ld. az
első levelemet a szálon)?
(Elvileg tudom, hogyan működik ez a hiba, de nem vagyok rendszergazda, ezért
kérek ötleteket, tippeket, akár valószínűtleneket is.)

Üdv:
Balázs
    

Üdv. Az is elképzelhető, hogy nem is a te lapod okozza ezt, hanem egy
másik feltört oldal ugyan azon a szerveren. Én kipróbálnám más
szerveren is, ha nincs több ötlet. SQL inject az olyan dolog, hogy
keresni kell a rést, és minden lapnál máshol lehet, ha egyáltalán van.
Ezek az iframes meg káros kódot letöltős javascriptes dolgok inkább
lopott ftp jelszónál jellemzőek. Könnyen kideríthető hogy ftp-e a
ludas. Ha nálam lenne elhelyezve a lapod, én megnézném az ftp logot
neked, de mivel nem így van, kérd meg a szolgáltatót hogy nézzen bele
abba a logba. Access log is hasonlóan hasznos információkat adhat.
  

Ezen felbuzdulva egy rovid esettanulmany, ami velunk esett meg, mi mondjuk rendszergazdai joggal is birtunk a szerveren...

Volt egy sebezhetoseg a phpadsnew xmlrpc kodjaban, valamelyik verzioban amin keresztul be lehetett jonni a szerverre, es meg programokat is tudtak futtatni a barataink. A program amit rendszeresen futtattak az egy ircbot telepito, ami letoltotte a cuccot, es elinditotta... Aztan tokeletesitettek rajta, mert mar forraskodot toltott le, es leforditotta magat, majd ugy kezdett futni. Mi ugy oldottuk meg a lenyomozast, hogy a wget-et amit hasznalt a letolteshez, atneveztuk wgetwget-re, es egy kis shellscriptet raktunk a helyere, ami logolta az osszes inditasi parameteret, az environmentet, meg amit lehetett, es kilepett. Ekkor lett meg a ludas.

Ebbol kb annyit lehet hasznalni, hogy esetleg valami mast tesztek az ftp portra ha van hozza jogosultsagotok, akar egy sajat kis daemon-t nem olyan bonyi osszedobni ilyesmit C-ben aztan logoljatok a kereseket, akinek meg alapbol joga lenne belepni a szerverre, azt megkeritek hogy a 2121-es portot hasznalja mondjuk. Ha erre nincs lehetosegetek, akkor meg valoban a logok segithetnek a legtobbet...

Pifta

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Ezt nagyon köszi, phpadsnew (egy ideje OpenAds) van telepítve, és állandóan javítgatják benne a réseket. Én az ilyet magamra veszem, és a saját kódjainkat buzerálom, de lehet, hogy esetleg ott van lyuk, ellenőrizzük.

 

A szerveren valóban több egyéb oldal is üzemel, de remélem, azért ennyire nem gázos a helyzet. :)

 

DB-ből olvasáskor, ha user input is megy a query-be, ugyanúgy szűrünk: számnál is_numeric, majd abs() (ált. egy ID-t várunk, ami nem szokott negatív lenni), text mezős szövegnél htmlspecialchars(), textarea-nál str_replace(), hmlspecialchars(), addslashes() megfelelő kombinációi, ahogy szükséges. Ezek soha, sehol nem maradtak még el, még a védettebb adminoldalakon sem, ahol tudható, kik dolgoznak, és saját érdekük is a biztonság. De ha van egyéb tippetek, ami jól használható, nyugodtan tegyétek hozzá. (Egy kérésem van: ne a manual általam is ismert függvényeinek neveit, hanem hogy mit és miért és hogyan és mire jó, amire a többi nem, tehát saját gyakorlati tapasztalatokat látnék szívesen, ha lehet.)

 

Köszi a válaszokat, üdv:

Balázs

2009/10/6 Fajth István <pifta@...>

Illó Gábor írta:

2009/10/5 Balázs Házi hbalazs@...:
  

Sziasztok!

Mivel a téma továbbra is a biztonság lenne, csak egy másik versenyzővel, ezt
a szálat folytatnám, ha nem gond. A múltkori XSS-kérdésemre adott minden
válasz azt erősítette meg, hogy nem a program a gond, XSS-típusú
behatolással nem lehet azt okozni, amit az első levélben részletesen
megírtam.
A másik tippünk, bár gyanítom, ez sem túl esélyes, az sql-injection. Elvileg
(és gyakorlatilag) minden DB-be írás előtt szűrjük és konvertáljuk az
adatokat, de talán mégis van valahol egy elfelejtett lyuk, nem tudom. A
kérdés: ennek a sérülékenységnek a kihasználásával van-e elvi és gyakorlati
lehetősége annak, hogy valaki, akár php szkript futtatásával, akár máshogy,
átírjon egy fájlt a docroot-ban, beleírva egy kártékony JS-kódot (ld. az
első levelemet a szálon)?
(Elvileg tudom, hogyan működik ez a hiba, de nem vagyok rendszergazda, ezért
kérek ötleteket, tippeket, akár valószínűtleneket is.)

Üdv:
Balázs
    

Üdv. Az is elképzelhető, hogy nem is a te lapod okozza ezt, hanem egy
másik feltört oldal ugyan azon a szerveren. Én kipróbálnám más
szerveren is, ha nincs több ötlet. SQL inject az olyan dolog, hogy
keresni kell a rést, és minden lapnál máshol lehet, ha egyáltalán van.
Ezek az iframes meg káros kódot letöltős javascriptes dolgok inkább
lopott ftp jelszónál jellemzőek. Könnyen kideríthető hogy ftp-e a
ludas. Ha nálam lenne elhelyezve a lapod, én megnézném az ftp logot
neked, de mivel nem így van, kérd meg a szolgáltatót hogy nézzen bele
abba a logba. Access log is hasonlóan hasznos információkat adhat.
  

Ezen felbuzdulva egy rovid esettanulmany, ami velunk esett meg, mi mondjuk rendszergazdai joggal is birtunk a szerveren...

Volt egy sebezhetoseg a phpadsnew xmlrpc kodjaban, valamelyik verzioban amin keresztul be lehetett jonni a szerverre, es meg programokat is tudtak futtatni a barataink. A program amit rendszeresen futtattak az egy ircbot telepito, ami letoltotte a cuccot, es elinditotta... Aztan tokeletesitettek rajta, mert mar forraskodot toltott le, es leforditotta magat, majd ugy kezdett futni. Mi ugy oldottuk meg a lenyomozast, hogy a wget-et amit hasznalt a letolteshez, atneveztuk wgetwget-re, es egy kis shellscriptet raktunk a helyere, ami logolta az osszes inditasi parameteret, az environmentet, meg amit lehetett, es kilepett. Ekkor lett meg a ludas.

Ebbol kb annyit lehet hasznalni, hogy esetleg valami mast tesztek az ftp portra ha van hozza jogosultsagotok, akar egy sajat kis daemon-t nem olyan bonyi osszedobni ilyesmit C-ben aztan logoljatok a kereseket, akinek meg alapbol joga lenne belepni a szerverre, azt megkeritek hogy a 2121-es portot hasznalja mondjuk. Ha erre nincs lehetosegetek, akkor meg valoban a logok segithetnek a legtobbet...

Pifta

--

Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak