Site gehackt

Begonnen von DeepThought, 21 Dezember 2004, 13:08:23

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Andi

#20
Nochmal zur Erläuterung, Zitat aus dieser Meldung:
http://www.heise.de/security/news/meldung/53511

ZitatAufgrund unzureichender Filterung von Benutzerparametern kann ein Angreifer eigene Kommandos an die SQL-Datenbank übergeben. Zudem ist die Software für Cross-Site-Scripting-Angriffe anfällig. Über das Modul viewtopic.php lassen sich unter Umständen sogar beliebige Kommandos auf dem Webserver ausführen. Betroffen sind alle Versionen bis einschließlich 2.0.10.

Durch bestimmte Aufrufparameter, die der viewtopic.php übergeben werden, werden vom php-Parser fast beliebige PHP-Befehle auf dem Server ausgeführt. Das funktioniert auch mit dem bbPort in phpNuke.
Ich habe gerade testweise auf einer Nuke Seite verschiedene Einstellungen der config.php ausgelesen. Genauso wäre es dort möglich gewesen, eine schädigende Datei dort zu includen....

JOp, bitte die Logfiles !!
schön´s Grüssle, Andi

GMS2K

hmm.... *leichtmuffensausenbekomm*

Kann man die Lücke in der viewtopic.php auf die Schnelle irgendwie schließen ?
Ich hab ja im vkpMx bbtonuke laufen in der Version 2.0.7....

GMS2K
~ reboot caused by senseless M$ Products ~

Regs

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

Guck sonst mal in die phpnuke-community, da steht noch einiges an Infos.

Biker

Mit dem 4nImpressum hat es aber nichts zu tun, oder?

Das hat er ja bei sich laufen....

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

NeMeSiSX2LC

Ne das von Warp-speed
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

DeepThought

Zitat von: JermaineBelgardio am 21 Dezember 2004, 22:05:56
Mal abgesehen davon, dass die Config Dateien ersetzt wurden - gab es sonst irgendwelche Verluste (etwa Datenbankeinträge oder so?)
Nein, sonst keinerlei Veränderungen.

Log-file ist eben auf den Weg gebracht.

DeepThought

Biker

Na da bin ich jetzt mal gespannt, woran es gelegen hat bzw. wie die rein gekommen sind!?

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

DarkBoy

Ich müsste das Logfile auch mal bitte haben.
Nach vielen Mails mit anderen Providerkollegen sind seid 3-5 Tagen regelrechte Fluten an Serveranfragen geflossen. Der richtige Boom wird aber noch kommen. Es wurden schon Server mit entsprechenden Scripten gefunden die Zeit gesteuert das Net absuchen und entsprechendes ausführen. Das wird ein ähnlicher Hype wie  Andi bereits sagte mit der Gallery.
Auch bei uns sind entsprechende Lasten zur Zeit unterwegs.

NeMeSiSX2LC

Zum Glückl war da all-inkl schnell weil auf meinem Account ist schon PHP5.0.3 und bb benutz ich da eh nicht jedenfalls nix originales unsicheres:-)
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Andi

Zitat von: GMS2K am 21 Dezember 2004, 22:57:16
hmm.... *leichtmuffensausenbekomm*

Kann man die Lücke in der viewtopic.php auf die Schnelle irgendwie schließen ?
Ich hab ja im vkpMx bbtonuke laufen in der Version 2.0.7....

GMS2K

Moin :)

kurz und bündig, hier hat Monika den Fix in deutsch geschrieben:

http://www.nukeboards.de/index.php?showtopic=26511


Wobei die nuke-Ports zur Zeit noch nicht gross bétroffen sein dürften, weil die "Hackroboter" nur über den Direktaufrufen der viewtopic.php ihr Spielchen treiben.
Da aber Nuke ein beliebtes Ziel für Hacker ist, wird es nicht lange gehen, bis auch die Aufrufparameter für den Nukeport irgendwo zu finden sind. So gross ist der Unterschied da nicht....
schön´s Grüssle, Andi

DeepThought

Zitat von: NeMeSiSX2LC am 22 Dezember 2004, 11:23:11
Zum Glückl war da all-inkl schnell weil auf meinem Account ist schon PHP5.0.3 und bb benutz ich da eh nicht jedenfalls nix originales unsicheres:-)

Glückwunsch, ich hab' mich für dich geopfert  :P Meine HP steht auch bei all-inl.

Zitat von: DarkBoy am 22 Dezember 2004, 11:19:34
Ich müsste das Logfile auch mal bitte haben.
Nach vielen Mails mit anderen Providerkollegen sind seid 3-5 Tagen regelrechte Fluten an Serveranfragen geflossen. Der richtige Boom wird aber noch kommen. Es wurden schon Server mit entsprechenden Scripten gefunden die Zeit gesteuert das Net absuchen und entsprechendes ausführen. Das wird ein ähnlicher Hype wie Andi bereits sagte mit der Gallery.
Auch bei uns sind entsprechende Lasten zur Zeit unterwegs.
Jubilee, forwarde doch bitte das log von mir an DarkBoy; seine E-Mail-Adresse habe ich nicht. Eben bekam ich von all-inkl den Hinweis, meine Site würde heute nacht auf einen stärkeren Server umziehen wegen der ungewöhnlich hohen Last.

DeepThought

jubilee

Hallo !
@DeepThought: hast Du denn gestern gegen 11:10-11:20 uhr in der Datenbank mit dem
Datenbankfrontend (phpMyAdmin?)  gearbeitet ?
MfG
jubilee

DeepThought

@jubilee

ja, aber nicht schreibend. Nur in Bezug auf die Fehlersuche geguckt, ob mir einer irgendeinen dusseligen java- oder html-code in die artikel geschrieben hat.

Gruß

DeepThought

jubilee

Hmmm ....
Kannst du auch die error_log aus dem besagten Zeitraum besorgen ?

DeepThought

@jubilee

error-log ist via-E-mail raus (75 KByte gepackt). Ist wohl einiges gelaufen, sagt all-inkl.

Gruß

DeepThought

jubilee

Hmm ....
Anhand der log-dateien kann ich eigentlich nix sehen. Hast Du die Dateien gesichert, die anstatt der
originale auf Deinem Webspace lagen ?!
Was stand da drin ?
Was mich stutzig macht, das in den Logfiles nirgends Fehlermeldungen auftauchen, die darauf schließen lassen, das
das Portalsystem nicht mehr läuft. Das müsste aber eigentlich doch der Fall sein, wenn sämmtliche Config-Files überschrieben sind ?!

jubilee

#36
So, ok, ich glaub ich habe es.
Verursacher ist der Wurm. Der hat aber nicht dein Webspace befallen, sondern auf dem Server muss noch ein anderer Account sein, der das phpBB einsetzt. Dieses ist gehackt worden. Warum sind jetzt bei Dir auch Scripte befallen ?
Ganz einfach weil diese Scripte bei dir mit chmod 666 oder 777 gesetzt waren. Da das i.d.R. nur die
config-Scripte sind, sind auch nur diese ersetzt worden. Wenn Du alle Scripte auf chmod 666 gehabt hättest, wären auch alle Scripte
(wie bei den anderen geschädigten) geändert worden.
Also ist nicht davon auszugehen, das eine Sicherheitslücke im MX2.1 existiert
MfG
jubilee

DeepThought

Hallo jubilee,

yep, das ist es.  :genie: Ich bin eben noch mal über den Server geflitzt und habe mir die Attribute angesehen. Standen doch tatsächlich auf 666 - schöne Sch.... mein fortgeschrittener Gelenkrheumatismus lässt zum Glück nicht zu, was ich mich könnte...

Die config-Dateien wurden ersetzt gegen eine html.datei, halt nur mit extension .php. Diese werden ja per include eingebunden und geben damit bei Aufruf den html-code wieder.

Was lernen wir daraus?
1. Sauschnelle Hilfe hier
2. Vorher gucken, dann fragen

Euch allen frohe Weihnachten

DeepThought

NeMeSiSX2LC

DeepThought Hm aber auf dem gleichen Server sind wir nicht:-)
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

munzur

Hallo!

Hab mal bei meinem PHPBB Forum mal nach geguck ob der was hat, da er eigentlich Ofline ist bzw. den Link niemand wissen sollte aber siehe da was seh ich ein Administrator Online und ein Gast.

Aha denk mir so einzufall (:

Im Adminmenü nach guck : Gast   22 Dez 2004 11:39 pm   22 Dez 2004 11:39 pm   FAQ anzeigen   66.249.66.161 

Trace die IP: 66.249.66.161 crawl-66-249-66-161.googlebot.com

Naja weiss nicht so Recht ob es mit dem Ganzen Thema was zu tun hat aber wollts mal posten.


L.g

Nachtrag: Der Gast ist im Adminteil 5 mal Online mit der Selben IP siehe oben.
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .