Hallo Leute

Habt Ihr auch schonn tests mit der c99Shell für PHP gemacht?
Link: http://ccteam.nukleon.us/files/c99shell.txt


Mit der Shell kann man alle Verezichnisse auf einem Windows Server anschauen (runterladen, ändern.löschen).
Eifach per FTP Raufladen fertig.

Wie kann man sich vor so einem eingriff auf einem Windows Server schützen?

Bitte dringend.......

Gruss eNpx

Der Zugriff auf einen Windows Server wird über einen User abgewickelt.

Dieser User wird sicherlich auch in diesen PHP Script definiert. Wenn dieser nicht genügend Rechte hat, wird eine änderung bzw. löschen nicht möglich sein.

Kannst einwenig mehr info's posten, sehe nicht ganz genau wo das problem ist - ausserdem ist halt noch wichtig was auf diesen Server lauft bzw. welche Rolle er war nimmt Webserver etc.

Ich kann kein Russisch, auch habe ich den Code nicht analysiert, aber das Script wird wohl automatisch die Rechte des Web-Users haben, bzw des Accounts, welcher PHP ausführt: Darf dieser User auf einem Win32-Server Dateien anderer User sehen/modifizieren/löschen?

bis bald
Kermit

Weniger php wird ja auf dem Server gecodet und nicht auf der ws - dann hat es eher die rechte des Dienstkonto für IIS

Genau das habe ich auch aussagen wollen... PHP wird also vom Dienstkonto ausgeführt?

bis bald
Kermit

IIS startet die Anwendung und bekommt das File zurück - müsste über das Dienstkonto abgehandelt werden.

Nutzt das Ding nicht einfach simple Fehler in den Konfigurationsdateien aus?

Nein es compiliert Pearl zur echtzeit und führt den code zur echtzeit aus. (Also ohne Pearl installiert zu haben.

Ich kann dem Dienstkonto die Rechte nicht wegnehmen, da sonst PHP nicht mehr läuft.

Safe_mode habe ich im php.ini aktiviert und trotzdem funzt es noch.

Laut der Hackerseite (altavista translate) funzt das ding auch auf Linux maschinen.

weiss jemand rat?

Also man kann in der PHP.ini safe mode aktivieren und das Script verezichniss angeben doch bleibt das Rootverzeichnis für das Script offen. Also wenn mir jemand sagen kann ob es möglich ist jedem User sein eigenes PHP.ini zu geben wäre mein Problem gelöst.

Gruss ENPX

Ich habe einen Layer basierten Filter auf unserer IDP (Intrusion-Detection & Prevention-System )erstellt.

Jetzt kann man solche Dateien nicht mehr auf unseren Server laden.
(Und wenn Sie schon auf dem Server wären, können Sie nicht mehr ausführt werden.

Die Datei wird bereits beim FTP Upload gelöscht bevor Sie unsere Firewall erreicht.

Gruss Enpx

Hooops da muss ich doch meine Security gleich mal neu überdenken !!!!!

Meine Kiste ist ja wie eine offene Türe

aber da bin ich wol auch nicht der Einzige

Ich möchte die Angst noch ein bisschen schüren:

Das mit dem PHP-Script ist ja ganz nett: Aber:

Wenn auf dem Server irgendeine Komponente, wie z.B. MDAC oder auch der SQL-Server (CMDSHELL) nicht auf dem aktuellsten Stand ist, kann ich ohne Weiteres auch so schon ein Programm auf dem Zielcomputer aufrufen (auch über Firewalls hinweg). Da auf dem Zielrechner wenige "für Hacker lustige" Programme installiert sind, kann ich einfach den TFTP-Client (welcher auf jedem neuen Windows-System vorhanden ist und wegen des Windows-Dateischutz auch nicht durch den Admin gelöscht werden kann, resp. gleich wieder reinkopiert wird) ausführen und mit diesem eine Verbindung auf meine Angreifermaschine herstellen, um viele schöne Hacker-Tools raufzuladen.

Wenn der SQL-Server der "Weak"-Point ist, dann kann ich noch hoffen, dass dieser unter dem SA-Account betrieben wird (welcher Admin-Rechte und standardmässig kein Passwort hat) und schon habe ich die Maschine übernommen. Von dort aus gehts dann auf die anderen Rechner der DMZ und ziemlich sicher auch auf das interne Netzwerk.

Es ist nicht "that easy" wie es klingt - aber ziemlich gut machbar, für jemanden, welcher eine Ahnung hat und auch das böswillige Potential dazu. Das erwähnte PHP-Script ist da nur ein kleines Türöffnerchen - es gibt da viel gemeinere Dinge... ;-D

Weitere Infos und eine Demo dieser Sache gibts übrigends auch an einem meiner Tech'n'Shisha-Workshops (www.itrain.ch/2005/CH_technshisha.asp), um noch ein bisschen Schleichwerbung zu machen ;-D

Grüessli

Cal77