Hvad skal chmod være på ...

Tror du ikke snarere det har noget med at gøre, at checke hvad det er der bliver uploadet?

<ole>

755 er default i de fleste systemer, men ved du helt objektivt, hvad der skete, da du blev hacket? Det bør du først og fremmest prøve at finde ud af. Ellers leder du måske bare efter gadedørsnøglen under gadelygten, fordi der er mere lys end der, hvor du tabte den  *o)

Under alle omstændigheder bør du altid validere alle brugerinput/-uploads for, om det modtagne svarer præcist til det forventede. Du skal i den forbindelse ikke koncentrere dig om, hvad ikke vil modtage og ekskludere resten. Du bør i stedet definere, hvad du vil modtage - og så ekskludere resten. Det er to meget forskellige tilgange, hvoraf den sidste er 'vinderens'  =)

/mvh
</bole>

Aaahh ... ok. Så det rigtige er i stedet, at f.eks. kun tillade bestemte filer (.doc, .pdf, mv.) ??

Jeg er desværre ikke klog nok til at vide hvordan de gjorde det. Kun ved jeg, at der lå nogle PHP scripts, der udsendte spam ...

Siger dette nogen noget?

MyCERT is aware that a host under your administration is hosting a malicious script used in an RFI attack.

Ja, det ville være rent selvmord at tillade f.eks. PHP-filer!  =8-O

På den anden side så jeg for et stykke tid siden en meget udbredt, ajaxdrevet filemanager til en meget udbredt rich text editor. Den tjekkede den uploadede fils extension, men skrev derefter indholdet midlertidigt ned i en datafil: data.php.

Det betyder, at jeg kan sætte et script til at kalde data.php 10 gange i sekundet, mens jeg uploader en fæl PHP-fil med endelsen .jpg. Så er der rigtig gode chancer for, min PHP kode bliver afviklet - og serveren bliver lagt ned.

Blot for at pointere, at det er farligt at modtage brugerinputs og -uploads, og at man skal tænke sig rigtig grundigt om  =)

Et RFI-attack består i uønsket inkludering af en fil. F.eks. på denne måde:


Så kan jeg skrive:


- måske endda en sti til en fil over webspace!

Njaahhh, Ole ... med den kode skal du skrive:


=)

Men er det via et password de er kommet ind i mappen, eller hvordan?

Nå, men tak for hjælpen Ole ... det har været lærerigt. Læg et svar for points, tak !

Ellers tak, jeg samler ikke point. Til gengæld skrev Michael faktisk noget yderst vigtigt til dig i #1 - som jeg i virkeligheden bare har elaboreret lidt videre over. Michaels kommentar var sådan set alt mit 'vrøvleri', samlet i en lille, fiks Maggi-terning - så jeg vil foreslå, du spørger ham  =)

Om hackeriet er sket bag et password, kan jeg ikke vide på baggrund af de foreliggende oplysninger. Det behøver ikke nødvendigvis være tilfældet.

Jamen jeg takker jer begge igen, og beder dig Michael, om at smide et svar ... det er rart med den fine hjælp man altid får her på Eksperten!

Nej tak, mange år siden jeg samlede på point. Læg selv et svar og accepter.

I skal dog have mange tak for hjælpen - dejligt at I ville bruge tid på mit problem ...

hilsen Martin

Ja, puha det var tidskrævende ;o) Det var nok mest olebole der lagde tid og energi her ;o)