Hallo und guten Abend.
Nach langer Zeit des Mitlesens habe ich mich hier nun auch mal angemeldet, der Anlass dafür ist leider kein freudiger.
Durch eine Lücke in einem PHP-Script bekam ich eine Shell untergejubelt.
Diesbezüglich hätte ich an euch Experten nun mal eine Verständnisfrage.
Die Lücke befand sich in einer PHP-Datei welche in einem per .htaccess geschützten Verzeichnis liegt.
Die Datei wurde lt. log mit "POST /pfad/upload_image.php?name=namedershell.php aufgerufen. (Zum Verständis: in der upload_image.php war die Lücke!)
Daraufhin gab der Server den Statuscode 200 zurück und die shell war damit hochgeladen.
Als der Angreifer dann einige stunden später die namedershell.php aufrufen wollte - bekam er eine 401er Statusmeldung zurück. Sprich er lief gegen den htaccess-Schutz.
Danach gab es keine weiteren Aufrufe die auf die Shell zeigten, und auch die verwendeten IPs tauchten in den Logs nicht mehr auf.
Als er die shell also aufrufen wollte - gelang ihm dies offensichtlich nicht, weil er keinen Zugriff darauf bekam - da per .htaccess gesperrt!
Ich verstehe aber nicht, wie er überhaupt die Shell in den geschützten Bereich schmuggeln konnte? Beim Aufruf der upload_image.php mit ?name=namedershell.php hätte er doch normalerweise auch schon in den htaccess-Schutz laufen müssen?
P.S. Sorry, falls die Frage zu trivial ist - im Moment ist mein Kopf aufgrund des Schreckens wohl noch nicht frei genug um selber intensiv darüber nachzudenken.
Nach langer Zeit des Mitlesens habe ich mich hier nun auch mal angemeldet, der Anlass dafür ist leider kein freudiger.
Durch eine Lücke in einem PHP-Script bekam ich eine Shell untergejubelt.
Diesbezüglich hätte ich an euch Experten nun mal eine Verständnisfrage.
Die Lücke befand sich in einer PHP-Datei welche in einem per .htaccess geschützten Verzeichnis liegt.
Die Datei wurde lt. log mit "POST /pfad/upload_image.php?name=namedershell.php aufgerufen. (Zum Verständis: in der upload_image.php war die Lücke!)
Daraufhin gab der Server den Statuscode 200 zurück und die shell war damit hochgeladen.
Als der Angreifer dann einige stunden später die namedershell.php aufrufen wollte - bekam er eine 401er Statusmeldung zurück. Sprich er lief gegen den htaccess-Schutz.
Danach gab es keine weiteren Aufrufe die auf die Shell zeigten, und auch die verwendeten IPs tauchten in den Logs nicht mehr auf.
Als er die shell also aufrufen wollte - gelang ihm dies offensichtlich nicht, weil er keinen Zugriff darauf bekam - da per .htaccess gesperrt!
Ich verstehe aber nicht, wie er überhaupt die Shell in den geschützten Bereich schmuggeln konnte? Beim Aufruf der upload_image.php mit ?name=namedershell.php hätte er doch normalerweise auch schon in den htaccess-Schutz laufen müssen?
P.S. Sorry, falls die Frage zu trivial ist - im Moment ist mein Kopf aufgrund des Schreckens wohl noch nicht frei genug um selber intensiv darüber nachzudenken.