Ist meine HP gehackt worden? - Software, allgemein

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 16:04

21

Ob es nun ein Programmierfehler war, lässt sich ohne den Code nicht feststellen. Möglicherweise war es auch ein Konfigurationsfehler oder ein Sicherheitsproblem (bzw. letzteres durch ersteres), das diesen Missbrauch des Servers ermöglicht hat.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

Bluefake

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 17:24

22

Also hier ist denn mal der Code auszugsweise:

Code als TXT

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 17:45

23

Mal davon abgesehen, dass in dem Code-Ausschnitt einiges Zeug ist, dass scheinbar nicht benutzt wird (etwa der Teil zum Versenden von hochgeladenen Dateien und der Multipart-Mail-Teil), scheint mir das Script nicht für Parameter-Injection bei register_globals=on anfällig zu sein. Ein Risiko bei der ohnehin sehr fragwürdigen Prüfung der manuell eingetragenen (und damit als gültig annehmbaren) Email-Adresse, die, falls doch ungültig, mit einem recht unsinnigen unset($email_address) quittiert wird, schließe ich auch aus.

Möglicherweise hat nur ein Spammer deine Domain als (natürlich gefälschte) Absenderadresse eingetragen und die unzustellbaren Emails an nicht existierende Postfächer sind entsprechend zu deinem Catch-All deiner Domain gebouncet. So ganz sieht mir die o.g. Mail allerdings auch wieder nicht danach aus.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

Bluefake

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 17:56

24

Also auf Deutsch: Das Skript – so stümperhaft es nach Deinen Angaben auch von den Programmierern gecodet wurde – war nicht schuld?

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 17:58

25

Zitat von »Bluefake«

Also auf Deutsch: Das Skript – so stümperhaft es nach Deinen Angaben auch von den Programmierern gecodet wurde – war nicht schuld?

Unter Vorbehalt: ja.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

Clark

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 19:11

26

Zitat von »Y0Gi«

Unter Vorbehalt: ja.

Was passiert, wenn man in die Headerzeilen ein neues To: Einfügt?
Oder ein BCC: oder ein cc: ?

Wird das rausgefiltert?
[edit]
also von der mail FUnktion her selber, in den Header kann man das afaik ansonsten einfügen...

c++: The power, elegance and simplicity of a hand grenade.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 19:28

27

Guter Einwand,

	Quellcode
1	$headers="From:$form_element1\r\n" [...]

könnte durchaus problematisch sein. Zudem bin ich nicht sicher, inwieweit die Parameter für mail() nach z.B. eben Zeilenumbrüchen gefiltert werden - bei PHP würde ich nicht unbedingt davon ausgehen...

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

Bluefake

God

Re: Ist meine HP gehackt worden?

Sonntag, 2. April 2006, 19:32

28

Probiert es doch mal aus.

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Montag, 3. April 2006, 01:07

29

Wenn ich die Zeit finde, probiere ich das möglicherweise.

Ich bin nicht sicher, ob das Überschreiben, z.B. mit einer neuen "To:"-Zeile, möglich ist. Eher würde diese ergänzt. In dem Fall (oder auch bei CC: und BCC

müsstest du aber ja auch jeweils eine Kopie der Mail erhalten haben. Hast du das? Obiger Schilderung nach ja nicht.

Du könntest zudem Mal die Access-Logfiles aus dem problematischen Zeitraum besorgen, die Zugriffe auf dein Kontakt-Formular-Script herausfiltern und dann darin nach per URL (GET) übergebenen Parametern suchen. Vielleicht sind ja Treffer dabei.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

Clark

God

Re: Ist meine HP gehackt worden?

Montag, 3. April 2006, 01:38

30

Zitat von »Y0Gi«
Guter Einwand,
Quellcode
1
$headers="From:$form_element1\r\n" [...]
könnte durchaus problematisch sein. Zudem bin ich nicht sicher, inwieweit die Parameter für mail() nach z.B. eben Zeilenumbrüchen gefiltert werden - bei PHP würde ich nicht unbedingt davon ausgehen...

und dazu kommt ja:
$form_element1 = $_POST['form_element1'];

d.h. er nimmt da jede beliebige Postvariable. Was leider bedeuted, dass er in den Logs wohl nix finden wird

[€dit]

Quellcode

additional_headers (optional)

String, der am Ende des E-Mail-Headers eingefügt werden soll. 

Dies kann benutzt werden, um zusätzliche Header-Angaben wie From, Cc oder Bcc anzugeben. Falls mehrere solcher zusätzlichen Header-Angaben angegeben werden soll, müssen diese durch ein CRLF-Zeichen (\r\n) getrennt werden.

Da kann man also ohne Probleme weitere Empfänger angeben...

c++: The power, elegance and simplicity of a hand grenade.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Montag, 3. April 2006, 02:30

31

Zitat von »Clark«

und dazu kommt ja:
$form_element1 = $_POST['form_element1'];

d.h. er nimmt da jede beliebige Postvariable. Was leider bedeuted, dass er in den Logs wohl nix finden wird

Ist mir durchaus klar. Aber vielleicht hat es der Fiesling ja doch zufällig über GET versucht oder, weil einfacher zu programmieren, die Parameter automatisiert per GET übergeben.

Edit: Wenn ich allerdings genau hinschaue, dürfte GET bei $_POST wenig wirken... *patsch* :

Aber: Könnte ja trotzdem wer versucht haben

Und: Anhand der Zugriffszahlen auf das Kontaktformular lässt sich auch möglicherweise in etwa ersehen, ob das wirklich für o.g. Mails missbraucht wurde. Denn wenn da in der Zeit nur fünf Zugriffe waren, aber 100 Mails rausgingen, hat es wohl daran nicht gelegen.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

leuko

Senior Member

Re: Ist meine HP gehackt worden?

Montag, 3. April 2006, 10:26

32

In der CT war vor einigen Monaten mal ein Artikel (22/05) zum Thema sicherer Formmailer, könnte evtl interessant sein.

Desweiteren würde ich Dir den Kauf von "PHP-Sicherheit - PHP/MySQL-Webanwendungen sicher programmieren"" nahelegen (ISBN 3-89864-369-7).

Recht gut geschrieben und großteils auch für Leute ohne tiefgehendes Wissen verständlich.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Montag, 3. April 2006, 15:01

33

Leider gehörte Sicherheit noch nie wirklich zu den Dingen, auf die bei der Entwicklung von PHP übermäßig viel Wert gelegt wurde.

leuko: Aber vielen Dank für den Buchtipp, hört sich gut an und dpunkt-Werken traue ich da einiges zu.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board) // LANparty DB (historical LAN party database)

Jey

unregistriert

Re: Ist meine HP gehackt worden?

Sonntag, 9. April 2006, 14:41

34

Hy, will nich extra nen neuen Thread aufmachen deshalb setzt ichs mal hier rein.

Seit ein paar Tagen bekomm ich täglich so 5-6 Gästebucheinträge auf meiner Homepage. Immer mit dem selben ähnlichen Inhalt:

Scott
( E-Mail / Website ) 9.4.06 10:32
Great work!
shakira mp3 | metallica mp3 | blink 182 mp3 | depeche mode mp3 | rolling stones mp3

Alice
( E-Mail / Website ) 9.4.06 10:30
Good design!
simple plan mp3 | eminem mp3 | linkin park mp3 | rammstein mp3 | eve mp3

Matt
( E-Mail / Website ) 9.4.06 10:35
Great work!
boyzone mp3 | format mp3 | ayumi hamasaki mp3 | lostprophets mp3 | akon mp3

Was kann ich dagegen machen ? Ich hab keine Lust jeden Tag die Einträge von Hand löschen zu müssen.

MFG Jochen

crushcoder

God

Re: Ist meine HP gehackt worden?

Sonntag, 9. April 2006, 14:46

35

zum ursprünglichen problem:

Zitat

Sicherheitsleck: Realmac Software hat eine Sicherheitslücke im Kontaktformular-Plug-in für den Web-Editor RapidWeaver geschlossen. Zur Installation müssen Nutzer der Software die Datei in das Verzeichnis /Library/Application Support/Rapid Weaver/ im Home-Ordner verschieben. Der Download (ZIP-Archiv) des
Plug-ins is kostenlos, RapidWeaver selbst ist für 34,95 US-Dollar zuhaben.

Zitat von »Microsoft-Sprecher Thomas Baumgärtner«

Gott hat die Welt ja nur in sieben Tagen erschaffen können, weil es keine installierte Basis gab.

Bluefake

God

Re: Ist meine HP gehackt worden?

Sonntag, 9. April 2006, 16:36

36

Jupp:

[tt]Dies ist eine E-Mail von 'RapidWeaver & mehr'

Nachricht:
Liebes Mitglied,

Realmacsoftware hat heute ein Bugfix für die Sicherheitslücke im Kontaktformular bereitgestellt. Du kannst das Kontakktformular unter http://realmacsoftware.com/downloads/bet…actform_2_3.zip

Installation:
1. Lade das neue Kontaktformular unter dem o.g. herunter
2. Beende RapidWeaver
3. entpacke das contact_2_3.zip Archiv
4. Kopiere das entpackte Plugin in Benutzer/dein_Benutzername/Library/Application Support/RapidWeaver/
5. Starte RapidWeaver

Um herauszufinden ob das Plugin richtig installiert wurde, füge eine Seite hinzu. Hinter dem Kontaktformular sollte nun die Versionsnummer 2.3 auftauchen.

Bei Fragen, stehen wir Dir sehr gern zur Verfügung.

Dein iUse-Team
[/tt]

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.