hack nette aplikace – objevily se cizi php soubory

gliny

Ahoj,

stalo se nam, ze se ve slozce temp a slozce www objevily soubory, ktere nebyly nase. Nekomu se nejak podarilo dostat soubory na nas hosting a tak se chci zeptat jestli vas nenapada jak k tomu muze teoreticky dojit, idealne abych to nasimuloval a mohl zabezpecit proti takovemu typu utoku.

Struktura aplikace je podle sandboxu a jde o nette 2.4, php7 a aplikace je na hostingu o uroven vys a ve verejne casti je jen www. Jedna se o web kde se pouziva jeden presenter a web obsahuje asi 5 „statickych“ stranek. Formular pouzit vubec neni.

Nenapada nekoho neco?

CZechBoY

U koho hostuješ? „mně“ hacknuli i html stránky :D

nightfish

Taky mohlo jít o vykradení „uložených“ údajů pro přístup k FTP (třeba z Total Commanderu – ve své době to bylo hodně populární, TC v reakci zavedl možnost šifrování přihlašovacích údajů).

iguana007

Pokud pouzivas FTP, tak staci aby si na WiFi nekdo odposlechl tvuj login/heslo a pruser je na svete :)
Zda-li se skutecne jedna o obycejny sandbox s par strankami a bez formularu, tak v aplikaci by jsem chybu asi nehledal.
Chyba bude budto v tom jak na web/hosting pristupujes … pokud vzdy pres sifrovanou komunikaci, tak v tom pristupu problem nebude a bezpecnostni chyba bude spise na strane hostingu a jejich serveru.

Editoval iguana007 (24. 11. 2017 14:39)

gliny

Na ftp pouzivam filezillu, tim to nebude (OS mam MAC). Man in the middle by snad byt nemel, ale nikdy nerikej nikdy.

A ohledne hostingu, stalo se to uz u dvou hostingovych firem. Poprve u jedne male nezname firmy a podruhe u velke a zname :D Hosting rika, ze server je spravny.

Je to prozatim zahada.

sucho

A o aký typ súborov sa jedná?
skús sem hodiť aspoň pár názvov

gliny

slo o tyhle soubory:

temp/cache/_nette.robotloader/sh3qwi/meray-rashke-qamar-raees-mp3-so.html

nebo

soubory viz google

Skoro to vypada, ze se ty soubory dostaly jen do adresaru kam ma pristup php skript.

iguana007

Tezko rict, takhle z nazvu souboru … nemas je nekde ulozene, ze by si jejich obsah hodil na nejaky pastebin?

gliny

bohuzel soubory uz nemam. Pokud se znovu objevi tak je nekam hodim.

iguana007

Jeste se zeptam, nemel si tam treba v nejakem drivejsim release formular s WYSIWYG editorem (klidne i v administraci za heslem)?

Rob Bob

Taky tipuju nějaký file manager pro WYSIWYG editor (např. elfinder měl bezpečnostní díry)

gliny

Wysiwyg nebyl ani jednom webu, jsou to v podstate staticke weby a nette je tam jen kvuli vicejazycnosti.

iguana007

Potom by jsem videl problem asi jedine v hostingu. Bud ti to tam mohli nacpat pres jiny web, ktery bezi na stejnem serveru (drive dost casty jev, ted uz to nesleduju, protoze jsem hostingy prestal, presne z tohoto duvodu, pred 8 lety pouzivat) nebo maji servery spatne zabezpecene a proste to tam nejak dostali (nejaka nezaplatovana dira v Apache, PHP apod.), ale rozhodne by jsem nehledal problem v Nette jako takovem, pokud je to opravdu tak simple staticka prezentace s preklady.

Ale to jsou vsechno spekulace o moznych pricinach, nevime o tom webu nic – zdrojaky jsme nevideli, domenu si taky nezminil a o detailech hostingu taky nebyla rec. Takze ten seznam moznych pricin by jsme mohli rozsirovat donekonecna.

gliny

Diky za nazor, souhlasi s mym.