Ist meine HP gehackt worden? - Software, allgemein

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 4:04pm

21

Ob es nun ein Programmierfehler war, lässt sich ohne den Code nicht feststellen. Möglicherweise war es auch ein Konfigurationsfehler oder ein Sicherheitsproblem (bzw. letzteres durch ersteres), das diesen Missbrauch des Servers ermöglicht hat.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Bluefake

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 5:24pm

22

Also hier ist denn mal der Code auszugsweise:

Code als TXT

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 5:45pm

23

Mal davon abgesehen, dass in dem Code-Ausschnitt einiges Zeug ist, dass scheinbar nicht benutzt wird (etwa der Teil zum Versenden von hochgeladenen Dateien und der Multipart-Mail-Teil), scheint mir das Script nicht für Parameter-Injection bei register_globals=on anfällig zu sein. Ein Risiko bei der ohnehin sehr fragwürdigen Prüfung der manuell eingetragenen (und damit als gültig annehmbaren) Email-Adresse, die, falls doch ungültig, mit einem recht unsinnigen unset($email_address) quittiert wird, schließe ich auch aus.

Möglicherweise hat nur ein Spammer deine Domain als (natürlich gefälschte) Absenderadresse eingetragen und die unzustellbaren Emails an nicht existierende Postfächer sind entsprechend zu deinem Catch-All deiner Domain gebouncet. So ganz sieht mir die o.g. Mail allerdings auch wieder nicht danach aus.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Bluefake

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 5:56pm

24

Also auf Deutsch: Das Skript – so stümperhaft es nach Deinen Angaben auch von den Programmierern gecodet wurde – war nicht schuld?

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 5:58pm

25

Quoted from "Bluefake"

Also auf Deutsch: Das Skript – so stümperhaft es nach Deinen Angaben auch von den Programmierern gecodet wurde – war nicht schuld?

Unter Vorbehalt: ja.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Clark

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 7:11pm

26

Quoted from "Y0Gi"

Unter Vorbehalt: ja.

Was passiert, wenn man in die Headerzeilen ein neues To: Einfügt?
Oder ein BCC: oder ein cc: ?

Wird das rausgefiltert?
[edit]
also von der mail FUnktion her selber, in den Header kann man das afaik ansonsten einfügen...

c++: The power, elegance and simplicity of a hand grenade.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 7:28pm

27

Guter Einwand,

	Source code
1	$headers="From:$form_element1\r\n" [...]

könnte durchaus problematisch sein. Zudem bin ich nicht sicher, inwieweit die Parameter für mail() nach z.B. eben Zeilenumbrüchen gefiltert werden - bei PHP würde ich nicht unbedingt davon ausgehen...

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Bluefake

God

Re: Ist meine HP gehackt worden?

Sunday, April 2nd 2006, 7:32pm

28

Probiert es doch mal aus.

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Monday, April 3rd 2006, 1:07am

29

Wenn ich die Zeit finde, probiere ich das möglicherweise.

Ich bin nicht sicher, ob das Überschreiben, z.B. mit einer neuen "To:"-Zeile, möglich ist. Eher würde diese ergänzt. In dem Fall (oder auch bei CC: und BCC

müsstest du aber ja auch jeweils eine Kopie der Mail erhalten haben. Hast du das? Obiger Schilderung nach ja nicht.

Du könntest zudem Mal die Access-Logfiles aus dem problematischen Zeitraum besorgen, die Zugriffe auf dein Kontakt-Formular-Script herausfiltern und dann darin nach per URL (GET) übergebenen Parametern suchen. Vielleicht sind ja Treffer dabei.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Clark

God

Re: Ist meine HP gehackt worden?

Monday, April 3rd 2006, 1:38am

30

Quoted from "Y0Gi"
Guter Einwand,
Source code
1
$headers="From:$form_element1\r\n" [...]
könnte durchaus problematisch sein. Zudem bin ich nicht sicher, inwieweit die Parameter für mail() nach z.B. eben Zeilenumbrüchen gefiltert werden - bei PHP würde ich nicht unbedingt davon ausgehen...

und dazu kommt ja:
$form_element1 = $_POST['form_element1'];

d.h. er nimmt da jede beliebige Postvariable. Was leider bedeuted, dass er in den Logs wohl nix finden wird

[€dit]

Source code

additional_headers (optional)

String, der am Ende des E-Mail-Headers eingefügt werden soll. 

Dies kann benutzt werden, um zusätzliche Header-Angaben wie From, Cc oder Bcc anzugeben. Falls mehrere solcher zusätzlichen Header-Angaben angegeben werden soll, müssen diese durch ein CRLF-Zeichen (\r\n) getrennt werden.

Da kann man also ohne Probleme weitere Empfänger angeben...

c++: The power, elegance and simplicity of a hand grenade.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Monday, April 3rd 2006, 2:30am

31

Quoted from "Clark"

und dazu kommt ja:
$form_element1 = $_POST['form_element1'];

d.h. er nimmt da jede beliebige Postvariable. Was leider bedeuted, dass er in den Logs wohl nix finden wird

Ist mir durchaus klar. Aber vielleicht hat es der Fiesling ja doch zufällig über GET versucht oder, weil einfacher zu programmieren, die Parameter automatisiert per GET übergeben.

Edit: Wenn ich allerdings genau hinschaue, dürfte GET bei $_POST wenig wirken... *patsch* :

Aber: Könnte ja trotzdem wer versucht haben

Und: Anhand der Zugriffszahlen auf das Kontaktformular lässt sich auch möglicherweise in etwa ersehen, ob das wirklich für o.g. Mails missbraucht wurde. Denn wenn da in der Zeit nur fünf Zugriffe waren, aber 100 Mails rausgingen, hat es wohl daran nicht gelegen.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

leuko

Senior Member

Re: Ist meine HP gehackt worden?

Monday, April 3rd 2006, 10:26am

32

In der CT war vor einigen Monaten mal ein Artikel (22/05) zum Thema sicherer Formmailer, könnte evtl interessant sein.

Desweiteren würde ich Dir den Kauf von "PHP-Sicherheit - PHP/MySQL-Webanwendungen sicher programmieren"" nahelegen (ISBN 3-89864-369-7).

Recht gut geschrieben und großteils auch für Leute ohne tiefgehendes Wissen verständlich.

Y0Gi

God

Re: Ist meine HP gehackt worden?

Monday, April 3rd 2006, 3:01pm

33

Leider gehörte Sicherheit noch nie wirklich zu den Dingen, auf die bei der Entwicklung von PHP übermäßig viel Wert gelegt wurde.

leuko: Aber vielen Dank für den Buchtipp, hört sich gut an und dpunkt-Werken traue ich da einiges zu.

This is my sick nature. – NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Jey

Unregistered

Re: Ist meine HP gehackt worden?

Sunday, April 9th 2006, 2:41pm

34

Hy, will nich extra nen neuen Thread aufmachen deshalb setzt ichs mal hier rein.

Seit ein paar Tagen bekomm ich täglich so 5-6 Gästebucheinträge auf meiner Homepage. Immer mit dem selben ähnlichen Inhalt:

Scott
( E-Mail / Website ) 9.4.06 10:32
Great work!
shakira mp3 | metallica mp3 | blink 182 mp3 | depeche mode mp3 | rolling stones mp3

Alice
( E-Mail / Website ) 9.4.06 10:30
Good design!
simple plan mp3 | eminem mp3 | linkin park mp3 | rammstein mp3 | eve mp3

Matt
( E-Mail / Website ) 9.4.06 10:35
Great work!
boyzone mp3 | format mp3 | ayumi hamasaki mp3 | lostprophets mp3 | akon mp3

Was kann ich dagegen machen ? Ich hab keine Lust jeden Tag die Einträge von Hand löschen zu müssen.

MFG Jochen

crushcoder

God

Re: Ist meine HP gehackt worden?

Sunday, April 9th 2006, 2:46pm

35

zum ursprünglichen problem:

Quoted

Sicherheitsleck: Realmac Software hat eine Sicherheitslücke im Kontaktformular-Plug-in für den Web-Editor RapidWeaver geschlossen. Zur Installation müssen Nutzer der Software die Datei in das Verzeichnis /Library/Application Support/Rapid Weaver/ im Home-Ordner verschieben. Der Download (ZIP-Archiv) des
Plug-ins is kostenlos, RapidWeaver selbst ist für 34,95 US-Dollar zuhaben.

Zitat von »Microsoft-Sprecher Thomas Baumgärtner«

Gott hat die Welt ja nur in sieben Tagen erschaffen können, weil es keine installierte Basis gab.

Bluefake

God

Re: Ist meine HP gehackt worden?

Sunday, April 9th 2006, 4:36pm

36

Jupp:

[tt]Dies ist eine E-Mail von 'RapidWeaver & mehr'

Nachricht:
Liebes Mitglied,

Realmacsoftware hat heute ein Bugfix für die Sicherheitslücke im Kontaktformular bereitgestellt. Du kannst das Kontakktformular unter http://realmacsoftware.com/downloads/bet…actform_2_3.zip

Installation:
1. Lade das neue Kontaktformular unter dem o.g. herunter
2. Beende RapidWeaver
3. entpacke das contact_2_3.zip Archiv
4. Kopiere das entpackte Plugin in Benutzer/dein_Benutzername/Library/Application Support/RapidWeaver/
5. Starte RapidWeaver

Um herauszufinden ob das Plugin richtig installiert wurde, füge eine Seite hinzu. Hinter dem Kontaktformular sollte nun die Versionsnummer 2.3 auftauchen.

Bei Fragen, stehen wir Dir sehr gern zur Verfügung.

Dein iUse-Team
[/tt]

Arbeiten am Mac ist natürlich keine Arbeit, sondern sinnvoll gestaltetes Glück.