c99remote Shell exploit gefunden

Matlock

Matlock

New Member
Hi,
ich hatte bis vor kurzem ein Image Upload Script auf meinem Server, das, wie sich heraus stelle ein grosses Sicherheitsloch hatte, es wurden nur die Dateiendungen überprüft und nicht wirklich ob es ein Bild ist.
Als ich neulich den Ordner mit den Bildern gescannt habe, fand ich ein Bild , welches als Inhalt den Code eines c99remote Shell exploit hatte und der lässt sich ja bekanntlich mit IE6(auch als bild.png) ausführen.

Nun meine frage, wie finde ich heraus ob ich gehackt wurde oder ob es evtl nur ein Noobcacker war und nichts erreicht hat.

PS: bin noch ein Anfänger in Linux/Server ;)

mfg

OS: Debian 4.0
 
Last edited by a moderator:
Hallo,

keine Panic. Wenn die Datei nur die Endung .png hat wird die Datei nicht serverseitig ausgeführt also hatte der Uploader auch keine Chance damit Schaden anzurichten.
 
Hi,
bin mir nicht mehr sicher obs png gif oder jpg war , da ich es schon gelöscht habe aber zu 99% sag ich mal, war es png.
Ich habs ja auch mal getestet, ne test.png mit folgendem Inhalt erstellt:

"<html><body><script>alert("Image Test")</script></body></html>"

lies sich mit IE6 problemlos ausführen , daher auch meine Sorge.

Hab keine verdächtigen Processe gefunden, uid & gid 0 hat nur root aber meine Gedanke war halt, das er sich was im Hintergrund angelegt hat und so evtl. Daten abfängt , einige sind anscheinend scharf auf meine Foren DB.

mfg
 
Hallo,

die C99Shell setzt PHP voraus. PHP wird immer auf dem Server ausgeführt. HTML und JavaScript wird immer lokal vom Browser ausgeführt.
 
bibabu said:
Hallo,

keine Panic. Wenn die Datei nur die Endung .png hat wird die Datei nicht serverseitig ausgeführt also hatte der Uploader auch keine Chance damit Schaden anzurichten.
Click to expand...

Das ist nicht *ganz* korrekt. Wenn du schon ein solch fahrlässiges Upload-script hast, ist es auch möglich das du irgendwo eine LFI (local file inclusion) hast!? Wenn ja, dann ist es dort möglich die "PNG Datei" einzubinden und der PHP-Code darin wird ausgeführt und die C99 Shell stände im vollen Funktionsumfang zur Verfügung.
 
You must log in or register to reply here.
Back
Top