Mailinglisten-Archive |
Hi Peter,
Peter Linzenkirchner schrieb:
> mir hat gerade jemand eine seltsame Datei auf den Server gelegt (über
> ein Upload-Verzeichnis). Sie heisst jpg.php.rar. Inhalt ist PHP und
> HTML. Sie beginnt so:
>
> <?php
>
> define('Restricted Area', '');
>
> /*
>
>
> */
> ?>
>
> <html>
> <head>
> <title>QuaD`s RestrictedArea<?php echo ?></title>
>
> Kennt das zufällig jemand? Der Inhalt deutet darauf hin, dass
> versucht wird, Systemkommandos auszuführen. Wie soll das aber gehen,
> wenn die Datei gar nicht mit .php endet?
RAR ist sowas wie ZIP. Die RAR-Datei selbst läuft nicht über PHP, aber die
entpackte PHP-Datei schon. Vielleicht hat derjenige, der sie hochgeladen
hat, sie auch entpackt oder entpacken wollen. Durchsuche das Dateisystem
mal nach einer solchen, entpackten Datei.
Google hat übrigens z.B. das hier ausgespuckt:
http://borderless.sut.ac.th/upload/data/jpg.php
Da kann man sich einmal ansehen, was die Datei möglich macht. Und wenn Du
dann weiterforscht, kommst Du hierhin:
http://mgeisler.net/
Mit den passenden Rechten versehen, ist die Datei jpg.php dazu geeignet,
einem Angreifer Tür und Tor zu öffnen und die Mittel zu geben, den ganzen
Server zu kompromittieren.
Vergleiche auch diese Seite:
http://mgeisler.net/php-shell/
D.h. wenn Du z.B. safe_mode auf ON gesetzt hast, kann die jpg.php keinen
Schaden anrichten, wie ich das sehe.
Viele Grüße
Lutz
php::bar PHP Wiki - Listenarchive