← Desenvolvimento

Upload de ficheiros e hacking - Site em risco??

Lida 6396 vezes

Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Boas.
Hoje reparei que um utilizador de um site que possuo com sistema de uploads, fez o upload de um ficheiro que receio comprometer a segurança do site...
Obviamente que o meu script de upload bloqueia qualquer tipo de ficheiro com extenções como .php .html, etc...
Só que ele fez um upload de um ficheiro com a extenção .THM que é um ficheiro perfeitamente aceitável pelo script visto que é a extenção de um ficheiro para temas de telémóveis.
Até aqui tudo bem, só que quando fui verificar o ficheiro ví que era um script php é pelo que ví, é extremamente perigoso.
O script chama-se phpRemoteView, e podem fácilmente encontrá-lo através de uma busca pelo google. É um software perfeitamente legal, mas que me está a preocupar.
Claro que já o tirei do site e bani o utilizador que fez o upload.
Portanto, agora a minha questão é esta, posso ter o site em risco?
No fim de contas aquilo era um script php mas com a extenção .thm.
Haverá alguma possibilidade de ele ter conseguido correr aquilo como um script php?
Até agora não ví nada de anormal, nada foi afectado, mas receio que alguem esteja a roubar o meu trabalho, pois tenho lá imensas horas de trabalho e foi tudo criado por mim, portanto são scripts exclusivos.
Desde já muito obrigado.
Offline

Nazgulled 
Membro
Mensagens 552 Gostos 0
Troféus totais: 29
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

em principio nao... para isso ser possivel tinhas que mudar algumas cenas no servidor... algo que provavelmente n fizeste, logo, acho que n era possivel correr o script com essa extensão. a não ser que o servidor tenha falhas de segurança que não estão ao teu alcance de corrigir.
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Ele até fez o upload do mesmo ficheiro 2 vezes, mas com nomes diferentes "php.thm" e "theme.thm".
E não, não tenho accesso ao ficheiro php.ini do servidor.
Bem, mas pelo sim pelo não, vou comecar a validar as imagens com getimagesize(), pois parece que é mais provável hackear um site com um ficheiro com extenção de imagem do que qualquer outro.
Tenho os ficheiros mais sensíveis protegidos com htaccess, mas esse phpremoteview nem isso respeita... isto porque experimentei em localhost, e até mesmo o conteúdo dos htaccess ele mostra, embora tenha <Files ".htaccess"> com deny from all.
Offline

kingless 
Membro
Mensagens 857 Gostos 0
Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2 Level 1

É possivel hackear um site com qualquer extensão mesmo com uma extensão que não existe (ficheiro.king) é possivel hackear um site.
=Iceburn= O que tens que fazer é ver o código que está dentro do ficheiro *.thm e se achares que o código pode permitir ataques então apagas e das um ban ao usuario. Não acho justo dares ban a um usuario sem saberes se o ficheiro pode permitir ataques ao servidor o nome do ficheiro é php.thm mas não quer dizer que esse ficheiro serve para atacar o servidor.
Offline

Nazgulled 
Membro
Mensagens 552 Gostos 0
Troféus totais: 29
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

n tem nd a ver com o php.ini, mas sim com o servidor. o servidor so deve estar a usar o php para processar ficheiros .php, .php3 ou .php4, pa outros n deve estar. tu deves puder alterar isso num ficheiro .htaccess, ms provavelmente n o fizeste. se o servidor é seguro e n tiver falahs que comprometa a execução de ficheiros php sem ser essas extensões válidas que to bloqueias antes de se quer puderem ser enviadas, então n deverás ter problemas nenhuns...

para o servidor, esses ficheiros n são nada mais que ficheiros com cenas escritas...
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Citação de: "kingless"
É possivel hackear um site com qualquer extensão mesmo com uma extensão que não existe (ficheiro.king) é possivel hackear um site.
=Iceburn= O que tens que fazer é ver o código que está dentro do ficheiro *.thm e se achares que o código pode permitir ataques então apagas e das um ban ao usuario. Não acho justo dares ban a um usuario sem saberes se o ficheiro pode permitir ataques ao servidor o nome do ficheiro é php.thm mas não quer dizer que esse ficheiro serve para atacar o servidor.

Mas eu ví o ficheiro, Kingless, a intenção dele ere mesmo hackear ou roubar -me o trabalho. O script era esse que eu referi, phpremoteview (Se ainda não viste o código, tens aqui:http://www.mudmagic.com/codes/dl/1557/remview.txt) tava dentro do ficheiro, aquilo não era nenhum tema para telemóvel, ere mesmo texto, texto php. E obviamente apaguei de imediato o ficheiro.
Felizmente na altura em que criei o código lembrei-me de cenas tipo estas, e permiti apenas um ponto (.) no nome do ficheiro.
Tipo, um ficheiro chamado imagem.php.gif seria muito mais fácil moldar do que um php.gif por exemplo, isto na minha opinião, não sei, mas eu penso assim, até pode nem ter nada a ver...

Citação de: "Nazgulled"
n tem nd a ver com o php.ini, mas sim com o servidor. o servidor so deve estar a usar o php para processar ficheiros .php, .php3 ou .php4, pa outros n deve estar. tu deves puder alterar isso num ficheiro .htaccess, ms provavelmente n o fizeste. se o servidor é seguro e n tiver falahs que comprometa a execução de ficheiros php sem ser essas extensões válidas que to bloqueias antes de se quer puderem ser enviadas, então n deverás ter problemas nenhuns...

para o servidor, esses ficheiros n são nada mais que ficheiros com cenas escritas...

Desculpa, não quero estar a pôr em causa os teus conhecimentos, mas tambem pode ter a ver com o php.ini, se por exemplo tiver o safe_mode em OFF, isso pode representar um buraco na segurança de um site.
Por acaso ainda não reparei se tem ou não, porque tou a fazer o backup do site, mas depois vou ver o phpinfo(), de qualquer maneira duvido que esteja off.

E em relaçao aos MIME Types, é isto que o servidor aceita:
Citar
application/java-archive   jar   
application/vnd.Nokie.ringing-tone   rng   
application/vnd.nokia.gamedata   nqd   
application/vnd.symbian.install   sis   
application/vnd.wap.sic   sic   
application/vnd.wap.wmlc   wmlc   
application/x-nokiagamedata   ngd   
application/x-pmd   .pmd   
application/x-smaf   .mmf   
audio/amr   amr   
audio/midi   midi   
audio/vnd.qcelp   .qcp   
image/vnd.nok-3dscreensaver   n3a   
image/vnd.nok-oplogo-colornokia-op-logo   nok   
image/vnd.wap.wmbp   wbmp   
image/x-bmp   bmp   
image/x-epoc-mbm   mbm   
text/v-vCard   vcf   
text/vnd.sun.j2me.app-descriptor   jad   
text/vnd.wap.si   si   
text/vnd.wap.sl   sl   
text/vnd.wap.wml   wml   
text/vnd.wap.wmlscript   wmlsc   
text/x-co-desc   cod   
text/x-vCalendar   vcs   
application/andrew-inset   ez    
application/atom+xml   atom    
application/mac-binhex40   hqx    
application/mac-compactpro   cpt    
application/mathml+xml   mathml    
application/msword   doc    
application/octet-stream   bin dms lha lzh exe class so dll dmg    
application/oda   oda    
application/ogg   ogg    
application/pdf   pdf    
application/postscript   ai eps ps    
application/rdf+xml   rdf    
application/smil   smi smil    
application/srgs   gram    
application/srgs+xml   grxml    
application/vnd.mif   mif    
application/vnd.mozilla.xul+xml   xul    
application/vnd.ms-excel   xls    
application/vnd.ms-powerpoint   ppt    
application/vnd.rn-realmedia   rm    
application/vnd.wap.wbxml   wbxml    
application/vnd.wap.wmlc   .wmlc wmlc    
application/vnd.wap.wmlscriptc   .wmlsc wmlsc    
application/voicexml+xml   vxml    
application/x-bcpio   bcpio    
application/x-cdlink   vcd    
application/x-chess-pgn   pgn    
application/x-cpio   cpio    
application/x-csh   csh    
application/x-director   dcr dir dxr    
application/x-dvi   dvi    
application/x-futuresplash   spl    
application/x-gtar   gtar    
application/x-hdf   hdf    
application/x-httpd-php   .php .php4 .php3 .phtml    
application/x-httpd-php-source   .phps    
application/x-javascript   js    
application/x-koan   skp skd skt skm    
application/x-latex   latex    
application/x-netcdf   nc cdf    
application/x-pkcs7-crl   .crl    
application/x-sh   sh    
application/x-shar   shar    
application/x-shockwave-flash   swf    
application/x-stuffit   sit    
application/x-sv4cpio   sv4cpio    
application/x-sv4crc   sv4crc    
application/x-tar   .tgz tar    
application/x-tcl   tcl    
application/x-tex   tex    
application/x-texinfo   texinfo texi    
application/x-troff   t tr roff    
application/x-troff-man   man    
application/x-troff-me   me    
application/x-troff-ms   ms    
application/x-ustar   ustar    
application/x-wais-source   src    
application/x-x509-ca-cert   .crt    
application/xhtml+xml   xhtml xht    
application/xml   xml xsl    
application/xml-dtd   dtd    
application/xslt+xml   xslt    
application/zip   zip    
audio/basic   au snd    
audio/midi   mid midi kar    
audio/mpeg   mpga mp2 mp3    
audio/x-aiff   aif aiff aifc    
audio/x-mpegurl   m3u    
audio/x-pn-realaudio   ram ra    
audio/x-wav   wav    
chemical/x-pdb   pdb    
chemical/x-xyz   xyz    
image/bmp   bmp    
image/cgm   cgm    
image/gif   gif    
image/ief   ief    
image/jpeg   jpeg jpg jpe    
image/png   png    
image/svg+xml   svg    
image/tiff   tiff tif    
image/vnd.djvu   djvu djv    
image/vnd.wap.wbmp   .wbmp wbmp    
image/x-cmu-raster   ras    
image/x-icon   ico    
image/x-portable-anymap   pnm    
image/x-portable-bitmap   pbm    
image/x-portable-graymap   pgm    
image/x-portable-pixmap   ppm    
image/x-rgb   rgb    
image/x-xbitmap   xbm    
image/x-xpixmap   xpm    
image/x-xwindowdump   xwd    
model/iges   igs iges    
model/mesh   msh mesh silo    
model/vrml   wrl vrml    
text/calendar   ics ifb    
text/css   css    
text/html   .shtml html htm    
text/plain   asc txt    
text/richtext   rtx    
text/rtf   rtf    
text/sgml   sgml sgm    
text/tab-separated-values   tsv    
text/x-setext   etx    
video/mpeg   mpeg mpg mpe    
video/quicktime   qt mov    
video/vnd.mpegurl   mxu m4u    
video/x-msvideo   avi    
video/x-sgi-movie   movie    
x-conference/x-cooltalk   ice

Alguns fui eu que adicionei, outros já estavam configurados no servidor.

Bem, entretanto já modifiquei um pouco o script, com getimagesize(), sempre dá um pouco mais de segurança no que diz respeito ao upload de imagens.
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Até já sei quem foi...
No dia 22 o gajo apagou-me um site por completo, um site que é mesmo só para uploads, que eu já nem ligo, raramente lá vou, mas hoje fui para verificar e em vez do site, encontrei o IndexOf com o directório /main e nesse directório ele deixou um index.php com o link para o site dele.
Claro que o sistema de upload não era tão seguro como tenho no outro site, e o host tambem não é o mesmo... mas isto deixa-me preocupado... :|
Offline

Nazgulled 
Membro
Mensagens 552 Gostos 0
Troféus totais: 29
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

mas eu n estava a falar na segurança do site no geral... estava a penas a falar em executar scripts php em ficheiros com outra extensão. algo que não tem nda  ver com o php.ini e apenas com as definições do servidor. mas como mostraste os mime types, n tas a correr nenhum risco desses.
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Vê-se que quem fez isto é tudo menos inteligente...

-Primeiro apaga-me um site no dia 22, deixa um link para o site dele num free host (5gigs.com),

-no dia seguinte regista-se num meu outro site (mesmo sabendo que ambos os sites me pertencem) e tenta fazer o mesmo que tinha feito umas horas atrás.

-Nem sequer proxy utilizou, tenho o IP, a ISP, a hora, a data, o sistema operativo, detalhes do browser... enfim, tudo aquilo que me poderia levar a denuncia-lo.

:lol:

Felizmente faço back ups de todos os sites pelo menos uma vez por semana, o que é mesmo desagradável é tentarem roubar-me aquilo que tanto trabalho me deu a construir.  :evil:

Penso que este assunto deveria ser mais abordado aqui no +Tráfego, quando menos se espera alguem pode hackear o vosso site, nenhum site está imune, mas existem pequenos detalhes que podem fazer a diferença na facilidade com que um site pode ser hackeado.

Por coincidencia este fim de semana tambem um site de um amigo meu foi hackeado, mas foi só o livro de visitas, foi o dele e foi o de muitos outros, pois é daqueles scripts que os hosts disponibilizam e um Turco entrou por alí a dentro e alterou o index com a sua mensagem de guerra. LoL



Obrigado Kingless e Nazgulled.
Offline

kingless 
Membro
Mensagens 857 Gostos 0
Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2 Level 1

=IceBurn= já agora, quais são os teus sites ?
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Citação de: "kingless"
=IceBurn= já agora, quais são os teus sites ?


Kingless, prefiro manter o anonimato em relação a isso. :wink:
Gosto muito de aqui vir, ajudar sempre que possível e aprecio imenso quando me ajudam, tu inclusive já me ajudaste imensas vezes, mas prefiro não revelar os meus sites.
E não, não tem conteúdo ilegal, se é isso que estás a pensar. :lol:
Offline

kingless 
Membro
Mensagens 857 Gostos 0
Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2 Level 1

Citação de: "=IceBurn="
Citação de: "kingless"
=IceBurn= já agora, quais são os teus sites ?


Kingless, prefiro manter o anonimato em relação a isso. :wink:
Gosto muito de aqui vir, ajudar sempre que possível e aprecio imenso quando me ajudam, tu inclusive já me ajudaste imensas vezes, mas prefiro não revelar os meus sites.
E não, não tem conteúdo ilegal, se é isso que estás a pensar. :lol:

Não me passou pela cabeça que o teu site tenha conteúdo ilegal, queria simplesmente ver como é  :wink: não sei porquê que não queres/podes mostrar sempre disseram-me que quem não deve não teme :lol: mas depois de pensares que eu pensei que o teu site tem conteudo ilegal acho que deves e por isso temes.  :twisted:
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Conteúdo ilegal não tem.
Só tem mesmo é cracks, warez, serials...
LoLoLoLoL  :lol:

Um dia quando fizer um site em HTML eu mostro, já comecei várias vezes, mas não tive paciência para o terminar.

Mas pronto, eu deixo aqui um deles:
http://waptarget.com
É um site trafic exchange para sites wap, claro.
Mas vais precisar do Opera para o visitar.

Entretanto se houver por aí voluntários para fazer um novo logo para o site, fico muito grato.  :D
Offline

Bruno Mota 
Membro
Mensagens 1733 Gostos 3
Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

=IceBurn=, logotipos é ctg
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Citação de: "mota77"
=IceBurn=, logotipos é ctg


Opá... não gozes com a desgraça do design.  :lol: