neue Sicherheitslücken in phpNuke, alle Versionen

Begonnen von Andi, 03 Juni 2004, 16:14:14

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Andi

Durch Direktaufruf von verschiedenen Dateien im Adminordner oder Modules-Ordner zusammen mit einem bestimmten Parameter, wird der komplette Serverpfad in einer Fehlermeldung ausgegeben.

Originalinfo hier:
http://groups.google.com/groups?selm=c9imp3%241dmq%241%40FreeBSD.csie.NCTU.edu.tw&output=gplain
weitere Info von Waraxe hier:
 http://www.waraxe.us/forum/viewtopic.php?t=96

Nach einem ersten Schnellcheck ist das vkpMx bzw die integrierten Module wieder einmal  nicht davon betroffen .
Fremdmodule und integrierte Module, die noch zu nuke kompatibel gehalten wurden, dagegen ja.

Wir checken alle vkpMx-files durch und geben dann weitere Info...
schön´s Grüssle, Andi

munzur

danke für das checken der mx files aber wie können die anderen user das bei fremd modulen bzw bei den angepassten modulen oder blocken ein check machen?

danke
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .

Andi

Oki, hier mal ein "globaler Schnellfix" für Fremdmodule die im vkpMx eingesetzt werden:

In allen .php Dateien, die sich im Modulordner und dessen Unterordnern befinden folgende Zeilen suchen:
 if (!eregi("modules.php", $PHP_SELF)) {
    die ("You can't access this file directly...");
}
 
und durch folgendes ersetzen:
if (!defined("mxMainFileLoaded")) die ("You can't access this file directly...");
 
Die zu suchenden Zeilen können auch in ähnlicher Schreibweise vorhanden sein. Falls sie ganz fehlen, oder wenn man sich nicht sicher ist, einfach die neue Zeile zusätzlich, ganz am Anfang der Datei nach <?php , einfügen.
Vorsicht! Das Modul läuft dann nur noch im vkpMx!

Ähnliches in allen Dateien im Adminordner...
Dort befindet sich folgendes in den Dateien (oder so ähnlich):
 if (!eregi("admin.php", $PHP_SELF)) { die ("Access Denied"); }
Dieses wieder durch folgendes ersetzen:
 if (!defined("mxAdminFileLoaded")) die("Access Denied");

Das gilt alles nur für Dateien, die nicht mit dem vkpMx ausgeliefert wurden!

Alternativ dazu kann man folgendes machen:

in den Ordner /admin und /modules eine .htaccess Datei anlegen mit folgendem Inhalt:

 
Zitat<filesmatch "\.php$">
deny from all
</filesmatch>
 

Dadurch können in diesen Ordnern keine .php Dateien direkt aufgerufen werden.
Nachteil dabei ist, dass bei modulen, die wirklich eine Datei direkt aufrufen nicht mehr funktionieren. Dies dürfte aber sehr selten der Fall sein. Normalerweise werden diese Dateien nur includet, da schadet dieser .htaccess Schutz nichts.


Bei den im vkpMx mitgelieferten Modulen und Dateien ist nur das eBoard betroffen. Hier kann die oben erwähnte Zeile problemlos zusätzlich hinzugefügt werden.
schön´s Grüssle, Andi

pete

hallo!

bitte nicht böse sein falls ich dinge schreibe, die euch zum lächeln bringen, aber ich bin kein profi.

habe mir ein vkp von euch installiert. es ist schon über ein jahr her. ich weiß nicht wie ich rausfinden kann, welche version von nuke ich installiert habe. es ist bereits ein vkp gewesen, aber die genaue version weiß ich nicht mehr.
ich antworte hier, weil ich auch opfer von hackern geworden bin. mittlerweilen schon das 3. mal und ich weiß nicht woran es liegt bzw. was ich ändern muss. habe vorerst die config.php auf 444 gesetzt, vorher war sie auf 666. ich hab euer eboard laufen.

ich wäre sehr dankbar, wenn ich wüßte welche bugfixes ich noch einspielen muss bzw. welche es gibt. natürlich erst, wenn ich weiß wie ich herausfinde, welche version ich installiert habe.

bitte um eure antwort.

vielen dank im voraus, pete

Andi

Hi Pete :)
warum sollen wir böse sein? Kann doch keiner verlangen, dass man "alles" weiss.

Normalerweise findest du die Versionsnummer am einfachsten, indem du dir den Quelltext deiner Seite im Browser anzeigen lässt. Hie steht ein Meta-Tag "Generator".

Ansonsten findest du die Versionsnummer auch direkt in der config.php.

Falls das alles fehlschlägt, gib uns nen Link zu der Seite, zum nachsehen ;)
schön´s Grüssle, Andi

pete

och, vielen dank auch!

die version ist: PHP-Nuke 5.2 lt. Generator bzw. config.php. sooooo, und jetzt müsste ich noch wissen was ich da alles drüberbügeln muss. mir ist aufgefallen, dass ich beim 2. nuke die version PHP-Nuke 5.5VKP habe, da ist bis heute noch nix passiert. ich hab mich schon gewundert.
hm, was ratet ihr mir? ich sag's aber gleich, ich hab kaum zeit für eine neuinstallation oder so. am liebsten wären mir bugfixes, wenn es die denn gibt?

vielen dank für eure antwort!

lieber gruß, pete

pete

hi,

habt ihr auf mich vergessen? nachdem ich von 5.2 auf 5.5VKP hochgezogen habe, wurde die seite nun wieder gehackt. langsam nervt mich das wirklich. haben die typen nichts anderes zu tun als fremde sites zu hacken?

jubilee

Hallo !
Auch in der VKP5.5 existieren viele Sicherheitslöcher die nicht mehr gefixt wurden, weil dieser Version
schon längere Zeit nicht mehr gepflegt wird. Viele von den Bugs sind erst nach Einstellung dieses Releases
entdecht worden.
Ein wirklich sicheres System wirst Du erst mit dem VKPMX 2.1/2.1.a erhalten.
MfG
jubilee