Mitglied seit:21.01.2004 Beiträge:15 Aus:Wuppertal
Level: 2
Kann vielleicht hilfreich sein:
Meine Seite www.psynfo.de (Exoops 1.03) wurde gehackt: erst ein Defacement, eine Woche später dann SPAM-Versand über meinen account in einer Subdomain (ExV 2.03; etwa 2000 bounces).
Nach mühevoller Recherche hab ich dann die Updates für newbb_plus installiert. Eine Woche später wieder 3000 bounces...
Da die logfiles scheinbar leer waren, hab ich meinen Provider um Hilfe gebeten. Der fand dann in einem Unterverzeichnis ein bösartiges Script:
Mitglied seit:22.12.2002 Beiträge:134 Aus:Zeuthen b. Berlin
Level: 10
Aber hallo
Dieser Bug ist is enorm kritisch einzustufen, eben weil System/Shellkommandos ausgeführt werden.
Bei uns waren das simple copy, move und cat Anweisungen.
Ich empfehle jedem der Besuch von dieser a1ts crew hatte ganz genau in den Apache Logs nachzusehen welche Dateien die sich angesehen haben. Bei uns z. B. haben Sie als letzen Schritt die httpd.conf ausgelesen.
Besonders auf Systemen auf denen der Indianer unter einem User läuft der auf mehrere Verzeichnisse Rechte hat (das sehen die eben über diese Logs) kann dort mächtig Schindluder getrieben werden. Bei mir sind alle anderen virtuellen Server per htaccess geschützt, da isses nicht so dramatisch was die lesen konnten.
Ein Patch steht ja im Download Bereich, aber ob wirklich jeder Betreiber sich davon angesprochen fühlt?
Ich würde auf jeden Fall in Zukunft eine eMail erwarten aus der hervorgeht dass es brenzlig ist.
Kann es sein dass Nobse und bama gerade im Urlaub sind?
LG Frank
p.s.: Ich Depp sehe jetzt erst die Information im Newsblock der Hauptseite :schaem:, aber trotzdem, kommt jeder der ein ex verwendet hier täglich vorbei?
Mitglied seit:22.12.2002 Beiträge:134 Aus:Zeuthen b. Berlin
Level: 10
Wie gesagt, wir fahren noch eine alte 0.76, daher haben wir viel weniger Klassen im Verzeichnis. Ich habe aber alle vorhandenen so modifiziert das ich vor dem ersten include_once folgenden Code hinzugefügt habe:
Code:
if (!defined('XOOPS_ROOT_PATH')) { exit(); }
if ($_GET'bbPath[path]']){ exit(); }
Ist wahrscheinlich doppelt gemoppelt, aber hat gewirkt, der Kollege kam heute nacht noch zwei mal und hat es probiert, ist aber nicht mehr durchgekommen....
Wenn das in der aktuellen Version vom newbb_plus immer noch offen ist würde ich das auf jeden Fall als Critical einstufen, da dort Systembefehele ausgeführt werden können. Hätte der Bub schlimmes im Sinn gehabt wäre das bestimmt auch gegangen.
Ich denke dass man das schnellstmöglich an alle newbb_plus user kommunizieren sollte.
Kann es sein dass auch andere Dateien im class-Verzeichnis davon betroffen sind?
Habe mir das Fixpack (Info von FrankP) fürs Forum von Runcms angesehen.
Darin sind mehrere Dateien (20 Stück) enthalten die im Vergleich zum Standard newbb_plus 0.81 diesen Unterschied enthalten (wurde am Beginn, noch vor den includes hinzugefügt):
Code:
if (!defined('XOOPS_ROOT_PATH')) { exit(); }
Auch im root von newbb_plus sind drei Dateien, die am Beginn um eine Zeile erweitert wurden (index.php, newtopic.php, reply.php): Code:
$forum = intval($forum);
ACHTUNG: Das Fixpack ist für NewBB Plus von RunCMS. Würde das Pack also nicht direkt auf den Server übernehmen.
Mitglied seit:22.12.2002 Beiträge:134 Aus:Zeuthen b. Berlin
Level: 10
Die index.php im exoops root Verzeichnis wurde bei mir umbenannt in index_here.php und durch ein andere ersetzt.
Du musst nur die index.php löschen, und die index_here.php in index.php umbenennen.
Und dann solltest du in der klasse /newbb_plus/class/forumpollrenderer.php den code von Philippe einbauen (ist nur eine Zeile)
ich habe das sicherheitshalber auch in den anderen Klassen so gemacht wie in meinem Post beschrieben (if $_GET.....), ist aber wahscheinlich nicht notwendig.
Der Kollege aus Brasilien war vor einer Stunde wieder bei mir und hat es erneut versucht. Seine IP lauet heute 200.233.52.120.
Auf meiner Homepage hatte ich auch den schwarzen Bildschirm. Was muss ich nun genau tun damit ich das wieder rauskriege? bin halt nicht gerade ein Code-Guru.. Das scheint ja ein grosses Problem zu sein.
Mitglied seit:22.12.2002 Beiträge:134 Aus:Zeuthen b. Berlin
Level: 10
und gleich noch eine Frage,
die haben sich als letzte Aktion per cat meine httpd.conf anzeigen lassen, nun weiß ich nicht was dort kritisches drinsteht, bzw. was man jetzt absichern sollte?
Home
News
Archiv
Forum
exploit im newbb_plus forumrender.php
