|
 FrankP :
| 17.09.2005 12:30 |
 Hallo zusammen,
wir fahren ja aufgrund unseres Customizing-Wahns eine alte 1.05R3 mit newbbplus 0.76. Wir wissen auch warum wir das tun, daher kann ich hier jetzt keine Hinweise gebrauchen wie "ja dann nimm doch die 2.0.x.9 
Heute nacht wurde irgendwie die index.php gegen eine andere ausgetauscht, es kam eine schwarze seite mit dem Logo der A1TS Crew.
Mein Apache sagt dazu folgendes:
Code:
auf Anfrage
etwas später wird dann die host.html in index.php mv'd, und dann haben sie noch nach der httpd.conf gesucht, das war's dann.
Ist das ein bekannte Problem was ich verpennt habe? Ich kann halt nicht mehr updaten.
Es scheint darüber möglich zu sein über den Klassenaufruf direkt Systemkommandos aufzurufen (cd, mv, wget etc.)
Zum Glück haben die Jungens nix schlimmes probiert.
So, nun zur Frage: Wie kann ich das abstellen, bzw. was muss ich bei der initialisierung der Klasse parsen oder sicherstellen?
Ich habe auf der dänischen runCMS Seite ein Fixpack gefunden, dort ist als erstes in der betroffenen Datei der Code
Code:
if (!defined('XOOPS_ROOT_PATH')) {
exit();
}
enthalten. Reicht das bereits?
Danke für eure Hilfe,
Frank
p.s.: Ich habe nur die Verzeichnisnamen nachträglich geändert..... wwwhomedir soll das e-xoops root Verzeichnis darstellen
p.p.s.: Ich habe den Teil mit den Logs jetzt mal rausgenommen, ist ja quasi ein How To 
Wer die stelle aus dem Apache sehen möchte einfach bei mir melden....
[ Geändert von FrankP an 17.09.2005 16:49 ] |
|
|
FrankP : | 17.09.2005 13:00 |
kann ich das eigentlich abstellen indem ich einfach
Code:
if ($HTTP_GET_VARS['bbPath[path]']){
exit();
}
einschalte?
Oder irgendwie das bbPath Array prüfen ob nur lokale URLs da drin sind??? |
|
|
Gast : | 17.09.2005 13:09 |
ich hab s noch nicht getestet ....
kommt von philippe french support
if (!defined('XOOPS_ROOT_PATH')) {
exit();
} in all class use $bbPath['path'] variable...
zu deiner lösung
so wie ich das sehe ja
nimm aber besser
die neue schreibweise
if ($_GET['bbPath[path]']){
exit();
}
dieses kleine snippet von philippe in die xoopspollrenderer.php vor die include_once...
if ( eregi('forumpollrenderer.php', $PHP_SELF)) die ('Direct Access to this location is not allowed.');
[ Geändert von vision an 17.09.2005 13:25 ] |
|
|
FrankP : | 17.09.2005 13:30 |
Dankeschön!
LG
Frank |
|
|
Dj_PD : | 17.09.2005 13:54 |
Die Geschichte A1TS Crew und schwarzer Bildschirm hatten leider mehrere Seiten. Ich hatte an dem Tag mal den Titel von dem Schwarzen bildschirm in google und MSN eingegeben und hab ne Menge E-Xoops (Exv2) Seiten gesehen die genau das gleiche hatten. Natürlich sagt das keiner, man will ja schließlich nicht Werbung für seine Sicherheitslöcher machen.
Aber wo hier gerade die rede is hab ich mir gedacht ich schreib auch mal.
Bei mir haben übrigends die index.php und die admin.php geändert. Mehr habe ich derzeit bei mir nicht gesehen.
Ich würde mich freuen wenn Ihr evtl. ein Tutorial schreibt oder ein Patch raus bringt, damit auch die die nicht so die Ahnung von dem Code haben das leicht einbinden können.
Ich hätte ja nieeee gedacht das es am Forum liegt.
Gruss
Dj_PD |
|
|
FrankP : | 17.09.2005 14:05 |
und gleich noch eine Frage,
die haben sich als letzte Aktion per cat meine httpd.conf anzeigen lassen, nun weiß ich nicht was dort kritisches drinsteht, bzw. was man jetzt absichern sollte?
Wer von den Linux-Gurus kann denn dazu was sagen?
LG
Frank |
|
|
rhorat : | 17.09.2005 19:20 |
Auf meiner Homepage hatte ich auch den schwarzen Bildschirm. Was muss ich nun genau tun damit ich das wieder rauskriege? bin halt nicht gerade ein Code-Guru.. 
Das scheint ja ein grosses Problem zu sein.  |
|
|
FrankP : | 18.09.2005 00:03 |
Die index.php im exoops root Verzeichnis wurde bei mir umbenannt in index_here.php und durch ein andere ersetzt.
Du musst nur die index.php löschen, und die index_here.php in index.php umbenennen.
Und dann solltest du in der klasse /newbb_plus/class/forumpollrenderer.php den code von Philippe einbauen (ist nur eine Zeile)
ich habe das sicherheitshalber auch in den anderen Klassen so gemacht wie in meinem Post beschrieben (if $_GET.....), ist aber wahscheinlich nicht notwendig.
Der Kollege aus Brasilien war vor einer Stunde wieder bei mir und hat es erneut versucht. Seine IP lauet heute 200.233.52.120.
Ist bei uns aber nicht mehr durchgekommen.... |
|
|
user69 : | 18.09.2005 00:48 |
Kann es sein dass auch andere Dateien im class-Verzeichnis davon betroffen sind?
Habe mir das Fixpack (Info von FrankP) fürs Forum von Runcms angesehen.
Darin sind mehrere Dateien (20 Stück) enthalten die im Vergleich zum Standard newbb_plus 0.81 diesen Unterschied enthalten (wurde am Beginn, noch vor den includes hinzugefügt):
Code:if (!defined('XOOPS_ROOT_PATH')) {
exit();
}
Auch im root von newbb_plus sind drei Dateien, die am Beginn um eine Zeile erweitert wurden (index.php, newtopic.php, reply.php):
Code:$forum = intval($forum);
ACHTUNG:
Das Fixpack ist für NewBB Plus von RunCMS.
Würde das Pack also nicht direkt auf den Server übernehmen. |
|
|
FrankP : | 18.09.2005 10:05 |
Wie gesagt, wir fahren noch eine alte 0.76, daher haben wir viel weniger Klassen im Verzeichnis. Ich habe aber alle vorhandenen so modifiziert das ich vor dem ersten include_once folgenden Code hinzugefügt habe:
Code:
if (!defined('XOOPS_ROOT_PATH')) {
exit();
}
if ($_GET'bbPath[path]']){
exit();
}
Ist wahrscheinlich doppelt gemoppelt, aber hat gewirkt, der Kollege kam heute nacht noch zwei mal und hat es probiert, ist aber nicht mehr durchgekommen....
Wenn das in der aktuellen Version vom newbb_plus immer noch offen ist würde ich das auf jeden Fall als Critical einstufen, da dort Systembefehele ausgeführt werden können. Hätte der Bub schlimmes im Sinn gehabt wäre das bestimmt auch gegangen.
Ich denke dass man das schnellstmöglich an alle newbb_plus user kommunizieren sollte.
LG
Frank |
|
|
p-tree : | 19.09.2005 11:35 |
Das sehe ich auch so!
Ich denke bei solchen kritischen Bugs sollte exoops ruhig alle registrierte USER per email benachrichtigen - oder? |
|
|
FrankP : | 20.09.2005 06:38 |
Aber hallo
Dieser Bug ist is enorm kritisch einzustufen, eben weil System/Shellkommandos ausgeführt werden.
Bei uns waren das simple copy, move und cat Anweisungen.
Ich empfehle jedem der Besuch von dieser a1ts crew hatte ganz genau in den Apache Logs nachzusehen welche Dateien die sich angesehen haben. Bei uns z. B. haben Sie als letzen Schritt die httpd.conf ausgelesen.
Besonders auf Systemen auf denen der Indianer unter einem User läuft der auf mehrere Verzeichnisse Rechte hat (das sehen die eben über diese Logs) kann dort mächtig Schindluder getrieben werden. Bei mir sind alle anderen virtuellen Server per htaccess geschützt, da isses nicht so dramatisch was die lesen konnten.
Ein Patch steht ja im Download Bereich, aber ob wirklich jeder Betreiber sich davon angesprochen fühlt?
Ich würde auf jeden Fall in Zukunft eine eMail erwarten aus der hervorgeht dass es brenzlig ist.
Kann es sein dass Nobse und bama gerade im Urlaub sind?
LG
Frank
p.s.: Ich Depp sehe jetzt erst die Information im Newsblock der Hauptseite :schaem:, aber trotzdem, kommt jeder der ein ex verwendet hier täglich vorbei?
[ Geändert von FrankP an 20.09.2005 06:58 ] |
|
|
Nobse : | 20.09.2005 09:52 |
Im urlaub waren wir nicht aber ein paar Tage nicht Online.
Nachdem ich die Downloads aktualieseirt habe hat jeder eine Newsletter bekommen. Natürlich nur wer diesen auch aboniert hat. |
|
|
drproll : | 24.10.2005 22:38 |
Kann vielleicht hilfreich sein:
Meine Seite www.psynfo.de (Exoops 1.03) wurde gehackt: erst ein Defacement, eine Woche später dann SPAM-Versand über meinen account in einer Subdomain (ExV 2.03; etwa 2000 bounces).
Nach mühevoller Recherche hab ich dann die Updates für newbb_plus installiert. Eine Woche später wieder 3000 bounces...
Da die logfiles scheinbar leer waren, hab ich meinen Provider um Hilfe gebeten. Der fand dann in einem Unterverzeichnis ein bösartiges Script:
index.php
foot.php
head.php
mysql.info.php
Also Augen auf!
Ansonsten läuft's prima mit ExV!!! |
|
|
p-tree : | 25.10.2005 08:47 |
hab mich jetzt gleich für den Newsletter registriert!
Hätt ich eigentlich auch vorher wissen müssen, dass es darin vielleicht erscheint!
Danke  |
|
|
Home
News
Archiv
Forum
exploit im newbb_plus forumrender.php
