Suche

[Chrisoffstormydays]

Schon bekannt???
..und wenn ja, gibt`s ein einfacheres Gegenmittel als das Erwähnte???

Danke und Gruß
Chris
-----------------------------------------------------------------------------------

Die Macher der Seite NukeCops.com wurden vor kurzem auf eine potentielle Bedrohung für die PHP-Nuke Community aufmerksam gemacht. Ein neues Programm genannt PHPNuke Admin Crack wird von der Adresse http://68.80.20.35/cracka.htm (zur Zeit nicht online) zum Kauf angeboten. Eine Analyse dieser Webseite enthüllte die folgenden Informationen...



Der Webseitentitel ist: "PhpNuke"...

Der Programmtitel ist: "PhpNuke 6.0 - 6.5 Admin Cracker"

Die Hauptseite zeigt folgendes: "Ein PhpNuke Website-Cracker mit dem Admin-Konten in einer Zeit von nicht mehr als 1er Stunde und nicht kürzer als 30 Minuten, abhängig von Ihrer Internetverbindungsgeschwindigkeit und Speicherkapazität gecrackt werden sollen. Dies soll von über 1300 Betatestern geprüft worden sein... ?Schon 10 Schritte vor dem Schöpfer von PHPNUKE, habe ich es möglich gemacht, alle Netzwerkmonitore und Sicherheitvorkehrungen die von den Seiten im Code eingebettet wurden zu umgehen?, schreibt der Autor der Seite. ?Dazu zählen auch getweakte PHP-Nuke Versionen?...

Ein ScreenShot hier: http://68.80.20.35/cracka.jpg

Das Verkaufsangebot: Kaufen Sie JETZT - $4.95 US Dollar,
die URL wo es das Tool zu kaufen gibt:
http://12.226.117.206/hosting/c0lders/form1.php

Eine Inspektion des Verkaufsformulars ergab...
Es wurde eine weitere URL gefunden:
http://12.226.117.206/hosting/c0lders/visa1.htm

Diese neue Seite heißt "c0lders.com - 3 Digit Card Verification Number.

Die 68.80.20.35 Seite benutzt auch einen 'Human Tag Monitor'. In anderen Worten von http://247livehelp.com wie folgt beschrieben:
"Der Code für Human Tag Monitor muß vorher auf Ihre Webseite in den HTML-Code von Ihrer Seite gesetzt werden. Der Zweck dieses Codes ist, die Seite zu sehen, die der Besucher gerade besucht. Dies ist ein sehr wichtiges Werkzeug, da Sie genau sehen können welche Interessen der Besucher hat".

Weil die NukeCops keinen Zugang zu diesem Programm haben, wissen sie nicht, wie es funktioniert. Eine Vermutung ist, basierend auf den Zeitintervallmöglichkeiten, daß es irgendeine Art von Brute Force Angriff versucht. Wenn das der Fall ist, sollte eventuell ein neues Apache Modul installiert werden welches in der Lage ist IP-Adressen zu blockieren. Es heißt mod_require_host und kommt von snert.com. Die Installation wird von den NukeCops empfohlen.

[Andi]

Hi Chrisoffstormydays,
yep, das Ding ist nicht mehr ganz neu.
Wahrscheinlich mit ein Grund, warum FB (bzw. nukeCops)  diesen grafischen Sicherheitscode in nuke6.5 reingebastelt haben.
Im VKP-Mxxx 2 wird etwas ähnliches, aber wirkungsvolleres, enthalten sein. Dort läuft der Sicherungscode über die Sessions, ohne zusätzliche Eingaben oder sowas. Ausserdem werden aufeinanderfolgende, falsche Einlogversuche geloggt und mit Sperrung geahndet.

[Chrisoffstormydays]

Hi Andi,

Danke für die flotte Antwort...

Gibt es ein Gegenmittel für das "alte" VKP 55??

Gruß
Chris

[Andi]

yep,
irgendwie läuft das über die Suchfunktion um das Adminpasswort per sql_injection zusammenzuschustern. Genau weiss ich es auch nicht mehr  

Suche im search Modul folgende 2 Zeilen:
 
$q = "select s.sid, s.aid, s.informant, s.title, s.time, s.hometext, s.bodytext, a.url, s.comments, s.topic from ".$prefix."_stories s, ".$prefix."_authors a where s.aid=a.aid $queryalang $categ";
if (isset($query)) $q .= "AND (s.title LIKE '%$query%' OR s.hometext LIKE '%$query%' OR s.bodytext LIKE '%$query%' OR s.notes LIKE '%$query%') ";
 
und ändere das wie folgt ab:
 
$q = "select s.sid, s.aid, s.informant, s.title, s.time, s.hometext, s.bodytext, a.url, s.comments, s.topic from ".$prefix."_stories s, ".$prefix."_authors a where s.aid=a.aid $queryalang $categ";
if (!empty($query)) {
$queryx = str_replace(" ","",$query);
if (substr("(a.pwd,", $queryx) || substr("(pwd,", $queryx)) {
Header("Location: index.php"); EXIT;
}
$q .= "AND (s.title LIKE '%$query%' OR s.hometext LIKE '%$query%' OR s.bodytext LIKE '%$query%' OR s.notes LIKE '%$query%') ";
}
 
EDIT:
Das hilft natürlich nicht gegen xxx falsche Einlogversuche!


[Editiert am 12.5.2003 von SiteAdmin Andi]

[Chrisoffstormydays]

yep,
irgendwie läuft das über die Suchfunktion um das Adminpasswort per sql_injection zusammenzuschustern. Genau weiss ich es auch nicht mehr  

 

Danke Andi!

Leider Funktioniert dann die Suchfunktion nicht mehr.... ;-)

Gruß
Chris

[Andi]

Ähh, doch...
habe allerdings gerade gesehen, dass mir da ne alte Version reingerutscht ist. Ausserdem hat das Forum die Zeilen zerrissen und Leerzeichen an falscher Stelle eingefügt. Mist...

Die Zeile:
if (substr("(a.pwd,", $queryx) || substr("(pwd,", $queryx)) {
wie folgt abändern:
if (ereg("\(a\.pwd,", $queryx) || ereg("\(pwd,", $queryx)) {

Und alle Zeilen auf überflüssige Leerzeichen überprüfen.
z.B. bei   $queryala ng muss es raus

[Chrisoffstormydays]

Ok, Andi, das funzt jetzt!!
Danke!

Gruß
Chris