Iemand met veel verstand van php scripts en server beveiliging!

[G.Bos]

Is eigenlijk niet de plaats om mijn problemen hier voor te leggen, maar ik zou graag aan alle leden van HL willen vragen of ze wellicht iemand kennen die erg handig is met PHP, virus scripts in PHP en server beveiliging.

 

Het volgende is het geval namelijk:

 

Bij enkele websites van mij ( gebouwd in PHP) heb ik ongelofelijk last van een virus script.

De websites staan op verschillende servers bij verschillende providers, het enige wat ze gemeen hebben is dat het PHP websites zijn.

 

Het script nestelt zich alleen in de index files van de website ( index.php / index.html / index2.html etc.)

Het gecodeerde script zorgt voor erg schadelijke virussen op de pc’s van gebruikers en doorlinks naar rare websites zoals “mysexydreams.net”

 

We hebben de scripts proberen te verwijderen, maar na enkele uren / een dag stond het er weer op..

Ook hebben we geprobeerd de CHMOD aan te passen naar 444, maar ook dit werd weer terug gezet.

 

Ik heb enkele van de websites offline moeten gooien, omdat de ellende niet te overzien was.

Of de hacker nu via ftp ofzo toegang krijgt is mij niet duidelijk.

 

Heeft iemand enig idee wat we hieraan kunnen doen, een script dat zich in index. .. nestelt en steeds terugkeert..

Kunnen we ons beveiligen?

 

[G.Bos]

Er zijn nu meerdere mensen bezig met het probleem, daar wil ik hen voor bedanken.

 

@ Cristine: ik weet niet precies wat je er mee wil bereiken door zonder al te veel

voorkennis dingen te roepen, maar zoals je aan de reacties van de mede

forumgebruikers ziet baseer jij je mening waarschijnlijk op slechte herrinneringen

en ervaringen en niet op de feiten.

 

Als wij niet wisten hoe we een website veilig moesten maken, was ik nooit met mijn

bedrijfje begonnen. Het feit dat ik externe expertise inroep om een zeer onbekend

probleem aan te pakken, getuigt niet van onkunde maar van verstandig handelen.

 

Ik wil graag iedereen bedanken voor zijn/ haar hulp in deze voor mij lastige tijden.

Het support was van grote hulp en hopelijk komt hier een oplossing uit voort...

 

 

[Marco Spoor]

Mocht het nog nodig zijn werkt er iemand voor mijn (Engels-talig) die gespecialiseerd is in Security dingen in o.a. PHP. Hij is op dit moment echter heel druk, maar mocht je er met de mensen die je nu helpen niet uitkomen, kan ik hem vragen om er eens naar te kijken. Zo ja, stuur me dan even een prive berichtje.

[Christine]

@ Cristine: ik weet niet precies wat je er mee wil bereiken door zonder al te veel

voorkennis dingen te roepen, maar zoals je aan de reacties van de mede

forumgebruikers ziet baseer jij je mening waarschijnlijk op slechte herrinneringen

en ervaringen en niet op de feiten.

 

Dat is onzin, en beledigend.

[G.Bos]

Mocht het nog nodig zijn werkt er iemand voor mijn (Engels-talig) die gespecialiseerd is in Security dingen in o.a. PHP. Hij is op dit moment echter heel druk, maar mocht je er met de mensen die je nu helpen niet uitkomen, kan ik hem vragen om er eens naar te kijken. Zo ja, stuur me dan even een prive berichtje.

 

bedankt, dat zal ik zeker doen, maar natuurlijk hoop ik dat we het zo kunnen oplossen..

[G.Bos]

@ Cristine: ik weet niet precies wat je er mee wil bereiken door zonder al te veel

voorkennis dingen te roepen, maar zoals je aan de reacties van de mede

forumgebruikers ziet baseer jij je mening waarschijnlijk op slechte herrinneringen

en ervaringen en niet op de feiten.

 

Dat is onzin, en beledigend.

 

Dat is helemaal niet mijn bedoeling hoor, want ook jouw input op deze discussie waardeer ik en heb ik iets aan..

maar je had nu eenmaal te weinig achtergrond informatie over dit specifieke probleem om hierover deze mening te geven..

 

laten we deze ja / nee discussie niet verder voeren, daar hebben we niets aan..

[spruce]

Als ik dat stukje code decrypt en analyseer, dan voert hij de volgende actie uit:

 

http://8speed.info/t/?255774fe316

GET /t/?255774fe316 HTTP/1.1
Host: 8speed.info
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: nl,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cache-Control: max-age=0

HTTP/1.x 404 Not Found
Date: Sun, 28 Dec 2008 21:00:18 GMT
Server: Apache/2
X-Powered-By: PHP/5.2.6
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------

Het zit best creatief in elkaar moet ik zeggen.

Uiteraard bestaat die pagina niet meer, want ze zijn ook niet gek.

Maar je hebt duidelijk te maken met complexe malware, verbaas me elke keer weer hoe ze het verzonnen krijgen.

 

8speed.info is a domain controlled by two nameservers at firmtop.net. They are on the same IP network. 8speed.info has one IP record. 2speed.info, 1speed.info, 1sense.info, ns2.1sense.info, ns2.2speed.info and at least 16 other hosts point to the same IP. 2speed.info, 1speed.info, 1sense.info, add-block-plus.net, add-block-filter.net and at least one other host use this as a nameserver. 2speed.info, 1speed.info, 1sense.info, add-block-plus.net, add-block-filter.net and at least one other host use this as a mailserver. google-analistic.com share nameservers with this domain. ns1.8speed.info, ns2.8speed.info and mail.8speed.info are subdomains to this hostname. 
[/code

 

Tussen bovenstaande domeinen zitten voor mij een paar bekenden die ik al eens eerder ben tegen gekomen.

Voorlopig lijkt het uit china te komen.

[G.Bos]

Oww.. nou dat is in iedergeval al iets... alvast bedankt!

[Christine]

Het script is waarschijnlijk gecodeerd, hebben al meerdere mensen naar gekeken.

Het script ziet er als volgt uit ( net na de eerste bodytag)

...

 

Zoals diverse mensen al hebben opgemerkt is minder relevant wat het malware script doet dan hoe ze in staat zijn om javascript code in je pagina te krijgen. Wat draait er nog meer op die server?

[willemj]

Wat draait er nog meer op die server?

 

Denk dat dat de cruciale vraag is. Het lijkt me namelijk erg sterk dat het om een bug gaat in zelf geschreven software; veel te kostbaar om met de hand 'in te gaan breken'. Een 'worm' dat gebruikt maakt van een bekende bug is, zeker gezien het feit dat de besmetting telkens terug komt, veel aannemelijker. Lijstje maken van alle software en PHP libraries die je gebruikt (grep 'require' en 'include' op je code) en zoeken bij securityfocus (zie vorige post van me in dit draadje)

[Kroon]

Oudere versies van Joomla, PhpBB, TinyMCE etc hebben vaak te kampen met dit soort beveiligingslekken. Gebruik je dit soort componenten uberhaupt? Zijn er gemeenschappelijke delers tussen de sites?

 

Lijkt me verder sterk dat een andere site op de server roet in het eten gooit. In principe mag een andere site geen toegang hebben tot de home directory. Dan heeft de hoster de boel gewoonweg niet op orde.

[spruce]

Het gaat hier om 3 verschillende hosters waar het probleem zich voordoet.

De enige logica is dat het allemaal dezelfde programmeurs zijn. Daar gaat het vaak nogal mis.

 

Vroeger ging ik er ook van uit dat dergelijke praktijken allemaal middels automatische scripts gebeurde.

Inmiddels is mijn ervaring dat ze scans uitvoeren en de zwakke websites eruit halen.

Vaak word er aan logs te zien nog wel handmatig ingebroken tegenwoordig.

Hebben ze één website van je, dan pakken ze gewoon de volgende uit je portfolio.

 

Mocht je een eigen website hebben, controleer voor de gein eens de IP adressen die op je website langskomen.

Je zal schrikken van wat voor praktijken er tegenwoordig uitgehaald worden.

 

[off topic]

Wist je dat er organisaties zijn die niets anders doen dan capcha's overtikken.

1000 overgetikte captcha's kosten je maar omgerekend ongeveer 1 euro.

Ik ben bang dat we hier in de toekomst ook veel last van gaan krijgen

[Jeroen Bakker]

Wist je dat er organisaties zijn die niets anders doen dan capcha's overtikken (...) Ik ben bang dat we hier in de toekomst ook veel last van gaan krijgen

 

Dat is de reden dat we ze op HL niet meer gebruiken, en iets specifieks voor het forum hebben ontwikkeld (druk maar eens op 'meld dit bericht aan de moderator' om een voorbeeld te zien). Werkt zeer goed tegen allerlei soorten spambotjes.

[spruce]

Wist je dat er organisaties zijn die niets anders doen dan capcha's overtikken (...) Ik ben bang dat we hier in de toekomst ook veel last van gaan krijgen

 

Dat is de reden dat we ze op HL niet meer gebruiken, en iets specifieks voor het forum hebben ontwikkeld (druk maar eens op 'meld dit bericht aan de moderator' om een voorbeeld te zien). Werkt zeer goed tegen allerlei soorten spambotjes.

 

Nou dat viel me laatst op, en ik ben van mening dat dit totaal niet veilig is.

Met reg expression vindt ik zo het woord dat tussen quotes staat (bijv marketing) en ik kan uit de broncode het gevraagde aantal letters opvragen.

Eitje, heb het in 5 min geprogrammeerd.

 

Beter zou je nog steeds een captcha toepassen en dan er naast zetten (typ de laatste 3 letter van de captcha over)

[Jeroen Bakker]

Tuurlijk heb je het in 5 minuten gemaakt, maar dat is niet het punt.

 

Het gaat hem om automatische scripts die het internet afstruinen, dit is uiteraard niet bedoeld om om iemand die er handmatig moeite in steekt te stoppen (die houden we op andere manieren wel buiten de deur ;)).

[spruce]

Waarom zou een captcha dan gevoeliger zijn voor een spambot scan?

[Maarten]

Nu weer on-topic graag. Dus niet problemen met talen of programmeurs in het algemeen, maar focus op het probleem van G.Bos (voor zover dit niet al beantwoord is).

 

Deze captcha discussie kan denk ik wel zijn eigen topic gebruiken ...

[Christine]

 

Het is wel grappig om zoveel anonieme kneuzen te krijgen met commentaren die echt onwaar zijn :-)

 

[Christine]

Wat draait er nog meer op die server?

 

Denk dat dat de cruciale vraag is. Het lijkt me namelijk erg sterk dat het om een bug gaat in zelf geschreven software;

 

Dat was de reden van mijn vraag. Het lijkt er sterk op dat er een serieus lek in de server zit waardoor ieder moment dat het inbreekscript verwijderd is, een bot binnen een half uur het lek weer gebruikt om het script weer te plaatsen. Misshien is het niet eens dezelfde bot die dat doet, maar gewoon de volgende die langs komt om dat lek te proberen.

 

Ik hoop wel dat de betreffende server sinds de ontdekking van de inbraken niet meer online is? Heb je gekeken of er een rootkit is geinstalleerd?

 

En wat draait er nu precies op die server?

 

[R.I.P. | Peter Bonjernoor]

Het is wel grappig om zoveel anonieme kneuzen te krijgen met commentaren die echt onwaar zijn :-)

 

Och, als je regelmatig nogal ongenuanceerd uit de hoek komt kun je dat verwachten. Kijk maar in mijn lijstje - zelfde verhaal.

 

Ik blijf er alleen wel bij dat je opmerking over 'scripttalen als PHP' nog steeds kant noch wal raakt. Alle software die je op een webserver installeert met de verkeerde instellingen kan een veiligheidsrisico opleveren, evenals onveilig geprogrammeerde code. En of die code nu in PHP, Perl, Java of ,NET geschreven is maakt werkelijk geen donder uit.

 

Daar hebben we het al eerder over gehad, en ondanks dat blijf je maar doormelen over PHP, en dat gaat steeds meer irriteren...

[G.Bos]

 

 

Ik hoop wel dat de betreffende server sinds de ontdekking van de inbraken niet meer online is?

 

 

Nee maak je geen zorgen, de hele zooi meteen oflline gezet.. dit hebben we gedaan omdat we de veiligheid van de bezoekers niet kunnen garanderen..

 

Hier werdt overigens met veel begrip op gereageerd..

 

 

[Christine]

Ik blijf er alleen wel bij dat je opmerking over 'scripttalen als PHP' nog steeds kant noch wal raakt. Alle software die je op een webserver installeert met de verkeerde instellingen kan een veiligheidsrisico opleveren, evenals onveilig geprogrammeerde code. En of die code nu in PHP, Perl, Java of ,NET geschreven is maakt werkelijk geen donder uit.

 

Ik begrijp niet dat mensen blijven volhouden dat je in java servlets met b.v. een hibernate database, wat een industry standard is, scripts kunt injecteren. Dat kan echt niet. Mij irriteert dat allerlei quasi-deskundigen op dit forum dat soort onzin de wereld in blijven slingeren en dan mij dan van allerlei dingen betichten. Met onveililge sites benadeel je niet alleen jezelf, maar ook nietsvermoedende bezoekers van je site en ik vind dat ernstig.

[Iwan van Geelen]

Mijn voornemen voor 2009 is om heel lief tegen elkaar te doen ;D ;D

 

 

:-K :-K :-K

 

 

[StevenK]

Ik blijf er alleen wel bij dat je opmerking over 'scripttalen als PHP' nog steeds kant noch wal raakt. Alle software die je op een webserver installeert met de verkeerde instellingen kan een veiligheidsrisico opleveren, evenals onveilig geprogrammeerde code. En of die code nu in PHP, Perl, Java of ,NET geschreven is maakt werkelijk geen donder uit.

 

Ik begrijp niet dat mensen blijven volhouden dat je in java servlets met b.v. een hibernate database, wat een industry standard is, scripts kunt injecteren. Dat kan echt niet.

'Kan niet' bestaat niet in de IT.

 

Geen enkel platform is 100% veilig en het probleem met jouw berichten is nu net dat jij lijkt te denken dat het ene platform wel en het andere niet veilig is. Wel is het zo dat de drempel om in php te programmeren veel lager is, waardoor er veel meer geprutst wordt in php dan in talen en platformen waarin de 'Hello world!' drempel een stuk hoger ligt.

 

Maar dat rechtvaardigt nog niet dat je het platform als 'onveilig' in de hoek zet.

 

Het feit dat er veel onervaren bestuurders ongevallen hebben in golfjes en astra's, maakt van golfjes en astra's toch ook geen onveilige auto's?

[R.I.P. | Peter Bonjernoor]

java servlets met b.v. een hibernate database, wat een industry standard is

 

Ja, ik kan zo...ehm...geen sites opnoemen die dat gebruiken. We praten hier over weblogs, webshops en dergelijke - probeer je nu werkelijk te suggereren dat we het hele HTML verhaal maar moeten laten voor wat het is en over moeten stappen op Java-applets?

 

Get real... ::)

[renep]

en over moeten stappen op Java-applets?

 

Get real... ::)

 

Snel, bukken! ;D Christine zei servlets.