|
 FrankP :
| 12.07.2004 21:37 |
 Hallo zusammen,
letzte Nacht wurde in unserem News-Modul ein Artikel inkl. Image eingestellt, in welchem verkündet wurde dass das System gehacked worden ist. Keine Daten gelöscht, nur ein Image der group und der Hinweis dass man das System absichern sollte.
Nach etwas stöbern bei Google habe ich das Board dieser Gruppe gefunden, dort wurden in der letzten Nacht ca. 5 e-xoops Systeme "defaced", immer im News-Modul einen Artikel eingestellt und direkt freigegeben.
Hat jemand eine Idee, wo dort vielleicht ein Sicherheitsloch sein könnte, über welches Artikel in die Datenbank geschrieben werden können?
Ich kann in den Serverlogs keinerlei Logins-Ausmachen, das messages-file des Servers sieht sauber aus und da wurde auch mit ziemlicher Sicherheit nicht dran manipuliert.
Ich glaube nicht dass das SQL-Passwort irgendwie ausgeklügelt wurde, sondern eher dass man die /news/submit.php irgendwie aufrufen kann um direkt in die DB zu speichern....
any ideas?
Danke und ciao
Frank |
|
|
Nobse : | 12.07.2004 21:42 |
| Schicke mir mal bitte die url der seite dieser gruppe per PM. |
|
|
FrankP : | 12.07.2004 22:25 |
Hallo Nobse,
PM ist raus.
Mir fällt gerade ein, da Gäste und User bei uns eh keine News einstellen dürfen, habe ich erstmal die submit.php umbenannt. Bin mal gespannt was als nächstes kommt 
LG
Frank |
|
|
|
FrankP : | 13.07.2004 14:19 |
Super, werde ich mir mal anschauen.
Danke!
ciao
Frank |
|
|
freddy : | 14.07.2004 12:33 |
hallo,
hat schon jemand herausgefunden wo dort das problem liegt und wie man das sicherheitsloch schließen kann oder ob das mit dem patch schon beseitigt ist?
gruss
Fred |
|
|
FrankP : | 14.07.2004 12:58 |
Hay Fred,
ich habe mir das Paket gerade mal ganz schnell angeschaut, auf den ersten Blick scheint es sich um keine Modifizierungen am Modul News zu handeln, sondern darum, in den Modulen mydownload, mylinks, xoopsfaq, xoopspoll und im MetaGenerator SQL injections zu verhindern.
Ob über diesen Weg auch das von mir geschilderte Problem gelöst werden kann kann ich dir leider nicht sagen.
ciao
Frank |
|
|
Picl : | 14.07.2004 13:21 |
@Frank und Nobse: Kann mir einer von euch vielleicht auch mal den Link zu der Gruppe geben?
Greetz & thanx,
Picl |
|
|
Nobse : | 14.07.2004 20:08 |
Werde den Link mal öffentlich machen.
Die Jungs hacken nicht die seiten wirklich, sie löschen nichts oder änder was sie weisen mit ihrer Aktion nur auf Sicherheitslücken hin.
Sehen könnt ihr das hier in diesem FORUM.
Ihr müsst euch registrieren dann erst könnt ihr das lesen.
Hier der Link zu den Bildern (erst wenn ihr dort angemeldet seit) LINK |
|
|
Gast : | 14.07.2004 23:56 |
miste, als ich da war war der laden schon wieder dicht. 
hab aber einige documente gefunden:
some workarounds
Add simply the following line just before "switch($op) {" :
--------------------
$cid = intval($cid);
$bid = intval($bid);
--------------------
replace following codes :
Bei den GET_VARS sicher auch
----------------------------------------------------
if (isset($HTTP_POST_VARS)) {
foreach ($HTTP_POST_VARS as $k => $v) {
${$k} = $v;
}
}
----------------------------------------------------
by :
----------------------------------------------------
$forbidden =
array('forbidden','sess_handler','member_handler','config_handler',
'xoopsUserIsAdmin','xoopsUser','xoopsDB','xoopsLogger',
'xoopsConfig','XoopsOption');
if (isset($HTTP_POST_VARS)) {
foreach ($HTTP_POST_VARS as $k => $v) {
if ( !in_array($k,$forbidden) ){
${$k} = $v;
}
}
}
oder ähnlich
----------------------------------------------------
na dann
[ Geändert von vision an 14.07.2004 23:58 ] |
|
|
Vegeta : | 15.07.2004 03:25 |
kann man das einsenden nicht ganz ausbauen... bzw das nur noch Admins senden können
dann dürfte das loch doch irgendwie weg sein |
|
|
Home
News
Archiv
Forum
Sicherheitsloch im News-Modul?
