Sicherheits-Problem mit imageshack.us-Clone Script

Dieses Thema im Forum "Webentwicklung" wurde erstellt von Judoki, 4. August 2007 .

Schlagworte:
  1. 4. August 2007
    Ich habe das imageshack.us-Clone Script schon eine Weile im Einsatz. Leider wurde das Script in den letzten Tagen mehrmals von der gleichen Gruppe gehackt.

    Nun würde ich gerne wissen was ich machen kann um die Sicherheitslücken zu schließen?
    Gibt es bekannte Schwachstellen?

    Leider kenn ich mich in Sachen PHP nicht so gut aus, deshalb wäre ich sehr dankbar wenn das evtl. jemand von euch fixxen könnte.

    Thx!
     
  2. 4. August 2007
    AW: Sicherheits-Problem mit imageshack.us-Clone Script

    um zu wissen welche lücken du schließen musst, muss du erstmal in erfahrung bringen welche lücken ausgenutz wurden. frag doch einfach mal die "hacker" wenn es keine picklige 13 jährige scriptkiddies sind, werden dies dir sagen. ansonsten musst du das script an einen experten weitergeben und dir gegen bezahlung die lücken schließen lassen da du es selber nicht kannst.

    // es muss auch nicht immer am script liegen, ne falsche serverkonfig und das sicherste script ist machtlos
     
  3. 4. August 2007
    AW: Sicherheits-Problem mit imageshack.us-Clone Script

    in wie fern wurde es denn gehackt? da gibts viele möglichkeiten
    ist die db zerstört/geändert worden?
    wurde das adminpasswort herrausgefunden/missbraucht/geändert?
    sind die files gelöscht worden?
    hat jemand den space vollgespamt?
    ausserdem müsste man wissen welches script das jetzt genau ist, so weit ich weiß gibts da mehrere
     
  4. 4. August 2007
    AW: Sicherheits-Problem mit imageshack.us-Clone Script

    ne db gibts dort net^^ admincp auch net
     
  5. 4. August 2007
    AW: Sicherheits-Problem mit imageshack.us-Clone Script

    Danke euch zwei. BWs sind raus

    Also hab dem Hacker mal ne Mail geschrieben und ihn gefragt ob er mir verrät über welche Lücke er reinkam.

    Jep, db gibts net.
    Ich glaube nicht dass das Adminpasswort herausgefunden wurde, ist auch nicht geändert worden.
    Es ist nichts gelöscht worden.
    Es wurde auch nicht vollgespamt.
    Es sind lediglich ein paar Seiten von dem Hackerteam und so "Verzeichnisscripte" (die den Verzeichnisinhalt anzeigen und mit denen man weitere Dateien hochladen kann...) hochgeladen worden.
     
  6. 5. August 2007
    AW: Sicherheits-Problem mit imageshack.us-Clone Script

    na das is ja dann ein schwieriger fall
    da sollte es eigentlich reichen ins upload script eine überprüfung der datei-endung reinzubauen
    dann können die zwar einfach die endung ändern, aber der apache parst normerweise keinen code aus jpg dateien
    naja, man müsste jetzt halt nurnoch das entsprechende script haben
    den block um den befehl move_uploaded_file
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.