WN
Sidan 2 av 3 1 2 3
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Webbhotell (https://www.wn.se/forum/forumdisplay.php?f=13)
-   -   Mitt andra webbhotell hackat efter Proinet (https://www.wn.se/forum/showthread.php?t=27383)

daniel_ 2008-02-22 15:20
Jag skulle gissa på att det är phpLD som är problemet. Använder du gratisversionen (2.0?) så tycker jag du ska uppdatera.

christi@n 2008-02-22 16:49
Citat:
Jag kan ju omöjligt veta vart jag använder samma lösenord som jag hade på Proinet, om jag ens har samma
någon annanstans. Vet inte...
va?

jonny 2008-02-22 21:41
Om du hittar en door.php i imagemappen låter det som du kanske tillåter uppladdning av bilder och att det gick bra att ladda upp phpscript också; vilket inte är lysande direkt...

clirre 2008-02-24 06:58
daniel: uppdatera till betalvarianten?

jonny: jag har inte aktiverat något sådant.

Vad är normala Permissions på mappar respektive filer?

clirre 2008-02-28 09:38
Uppenbarligen så fungerade inte mitt förra ingrepp. Det var med sannolikhet alltså inte lösenord på vift.

Kan man ladda upp filer på en server med hjälp av SQL-injections?

clirre 2008-02-28 09:40
Uppenbarligen så fungerade inte mitt förra ingrepp. Det var med sannolikhet alltså inte lösenord på vift.

Kan man ladda upp filer på en server med hjälp av SQL-injections alt. mha databasen ändra permissions på mappar så att man kan ladda upp scripts?

clirre 2008-02-28 12:10
Hittade många bra trådar här om SQL-injections tex. http://www.webmasternetwork.se/index.php?a...=injection&s=wn

men jag som är ganska mkt nybörjare med php när det gäller avancerade funktioner undrar ändå. Logiskt sett så tycker jag att man inte borde kunna ändra skrivrättigheter och plantera skript via databasskrivningar. Eller?

Det står ganska klart att sql-injections är ett hål i säkerheten men vad borde jag leta efter mer? M.a.p. att skript har laddats upp och skrivrättigheterna ändrats två gånger där jag bytte alla lösenord emellan.

tartareandesire 2008-02-28 13:00
SQL Injections kan endast påverka databasen (såvida man inte kommer åt annan information därigenom då).

Hade du bytt webbhotell? Säkerhetsbristen kan ligga där. Kontrollerat din egen dator?

clirre 2008-02-28 13:34
Var rädd för att sql-injections inte var det enda problemet. Jag har phpLD installerat på samma server, vilket någon påpekade. Jag hittade en tråd där någon annan haft phpLD och fått samma problem. Det reddes dock aldrig ut om detta var anledningen.

Det skedde på Servage.com och de har jag haft ett tag, kanske ett år.

Har ett antivirusprogram som verkar väldigt mycket på hugget men kan inte svära på att jag inte har nåt skit på datorn.

SimonP 2008-02-28 14:25
Citat:
Originally posted by tartareandesire@Feb 28 2008, 13:00
SQL Injections kan endast påverka databasen (såvida man inte kommer åt annan information därigenom då).
Ifall det finns tillräckliga rättigheter på databasen kan man både läsa och skapa filer med SQL injektioner.

T.ex för att läsa en fil:
SELECT LOAD_FILE('/etc/passwd');

Skapa:
SELECT '<?php system($_GET[\'cmd\']); ?>' INTO DUMPFILE '/tmp/shell.php';


Alla tider är GMT +2. Klockan är nu 07:05.
Sidan 2 av 3 1 2 3
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson