PFZ.nl - PHP Community: RewriteRule hack... - Systeembeheer - Forum - PFZ.nl - PHP Community

Je kunt niet antwoorden op dit topic
#1 22-02-2012 14:47
  • tim dekkers
  • Groep: Forumleden
  • Posts: 98
  • Actief sinds: 12-05-2004
iemand hier bekend mee?

ik begrijp wel wat er bedoelt wordt maar vraag me af of iemand bekend is met de RewriteRule hack
RR is allemaal wel aardig maar volgens mij behoorlijk gevaarlijk...

1
2
3
4
5
6
7
8
9
10
11
  find rootdir -name '.htaccess' -print | xargs grep 'RewriteRule' 
This yielded a line like this naming the malicious PHP script:

  RewriteRule . /phpinfo.php [L]
Alternately, the script itself could be found with the following command:

  find rootdir -name '*.php' -print | xargs grep 'eval(base64_decode'
Which yields a line like this:

  eval(base64_decode('DQpAZXJ ... 
Followed by many lines of Base64 encoding.


graag jullie input!
cheerz
tim
#2 22-02-2012 16:17
  • Gary vd H
  • Groep: Forumleden
  • Posts: 957
  • Actief sinds: 26-01-2005

Bekijk Post Op 22-02-2012 15:47 schreef tim dekkers:

ik begrijp wel wat er bedoelt wordt...
Nee, dat begrijp je niet, anders plaats je hier niet een stuk tekst dat volledig uit zijn context is gehaald.

Hier is het hele bericht te lezen http://www.jltaylorw...ku.php/sandbox3

Het kan overal aan liggen BEHALVE je rewriterules.

- Verkeerde rechten
- Verkeerd geconfigureerde (shared) server
- Gehackt ftp account
- Slechte PHP code
#3 23-02-2012 09:45
  • tim dekkers
  • Groep: Forumleden
  • Posts: 98
  • Actief sinds: 12-05-2004
hetzelfde maar dan van
http://cbl.abuseat.o...&.pubmit=Lookup
waar ik het vandaan heb...
#4 23-02-2012 10:42
  • Gary vd H
  • Groep: Forumleden
  • Posts: 957
  • Actief sinds: 26-01-2005

Bekijk Post Op 23-02-2012 10:45 schreef tim dekkers:

hetzelfde maar dan van
http://cbl.abuseat.o...&.pubmit=Lookup
waar ik het vandaan heb...
Daar staat exact hetzelfde als wat ik hiervoor al als opmerking heb gegeven. Je citeert een stuk uit het vinden van een trojan die toevallig een rewriterule toevoegt aan je .htaccess

Er staat nergens ook maar iets dat doet vermoeden dat dit met een rewriterule hack te maken heeft. Zodra een virus rechten heeft om jouw .htaccess te herschrijven, zit je wel met een erger probleem. De hacker heeft dan namelijk toegang tot je FTP en in 99% van de gevallen dus ook tot je database.
#5 23-02-2012 14:36
  • Martin P
  • Groep: Moderators
  • Posts: 3645
  • Actief sinds: 19-04-2007
Ik sluit me aan bij Gary. Er wordt enkel aangegeven dat een op PHP-gebaseerde trojan een RewriteRule toevoegt aan het .htaccess-bestand. Die RewriteRule zelf is geen hack, het is slechts iets dat wordt toegevoegd door die trojan. Met andere woorden: men is reeds binnen op het moment dat je .haccess-bestand wordt aangepast.

Nadat het .htaccess-bestand is aangepast wordt er allerlei meer rommel op de server geplaatst. Er is hier dus geen sprake van een RewriteRule-hack, enkel van een slecht beveiligde server. Deze slecht beveiligde zorgt ervoor dat men uiteindelijk het .htaccess-bestand kan aanpassen.

Zoals je aangeeft, is het inderdaad gevaarlijk als iemand zomaar toegang heeft tot je server en op die manier ook nog eens zomaar schrijfrechten heeft op bestanden en dat moet je dus voorkomen.
Handleidingen zijn er niet voor niets, gebruik ze dus :)
HTML5 ~ CSS ~ PHP ~ MySQL ~ SQL-injectie bestaat meer dan 13 jaar

Nieuwe Topics

Scripts

Wiki's

Vacatures

Nieuwsberichten

Software Updates

Inloggen wachtwoord vergeten? Aanmelden