Remote Exploit unter 2.0.20 und .21?

fanrpg · Beitrag von **fanrpg** » 14.05.2006 20:48

Nein nur zum sichern und wieder einspielen der Datenbank.

Beitrag von **oxpus** » 14.05.2006 20:48

Nun, ich lasse mysqldumper schon per cronjob arbeiten, klar, sonst wäre das wirklich dumm.
Und vorher noch die db komplett optimieren, dann habe ich zumindest alle 24 Stunden (so ist mein Backup eingestellt) eine "saubere" Datenbank.

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 14.05.2006 21:02

@fanrpg:

Danke für die Antwort - also weg mit dem Ding!

LG, IPB_Flüchtling

fanrpg · Beitrag von **fanrpg** » 14.05.2006 21:15

Vllt. sollte man das auch mal Publicer machen ich denke nicht jeder guckt genau hier rein oder an anderen Stellen wo ichs gepostet habe.
Den das Sicherheitsrisiko ist da und bis die phpBB Group reagiert können Tage vergehen und viele Foren gehackt werden.

Beitrag von **cYbercOsmOnauT** » 15.05.2006 01:59

Ich schätze das Risiko ehrlich gesagt nicht so hoch ein, denn damit der Exploit funktioniert, muss Avatar Upload aktiv sein. Wenn dies nicht der Fall ist, muss der Hacker die SID des Admins raten. Viel Erfolg....

Eines musst Du mir in Deinem SQL-Query erklären fanrpg. Ziemlich weit unten führst Du das Folgende aus

Code: Alles auswählen

$sql = "SELECT s.session_id, s.session_ip FROM ".SESSIONS_TABLE." s WHERE s.session_id = '". str_replace("\'", "''", $userdata['session_id']) ."' LIMIT 1";
if( !( $result = $db->sql_query($sql) ))
{
   message_die(CRITICAL_ERROR, 'Hacking attempt', '', __LINE__, __FILE__, $sql);
}
$sessionrow = $db->sql_fetchrow($result);   

if( $userdata['session_id'] != $sessionrow['session_id'] )
{
   die('Hacking attempt');
}

Also du fragst eine Zeile der Sessions-Tabelle ab. Und zwar die, wo die eingetragene session_id in der Tabelle $userdata['session_id'] entspricht. Danach führst Du eine If-Anweisung durch, in der Du abfragst, ob die session_id in der Tabelle mit $userdata['session_id'] übereinstimmt. Wie soll da jemals FALSE heraus kommen?

Grüße,
Tekin

thompson · Beitrag von **thompson** » 15.05.2006 12:41

also ich hatte vor kurzem lt. meinem hoster einen angriff über den upload einiger dateien (album mod oder avatar) ließ sich leider nicht mehr klären, da der angreifer auch die logs komplett gelöscht hat.

was sollte man denn nun genau tun ?

fanrpg · Beitrag von **fanrpg** » 15.05.2006 13:28

Wie soll da jemals FALSE heraus kommen?

gar nicht.

hebe · Beitrag von **hebe** » 15.05.2006 13:30

ich lasse den avatar upload gar nicht zu, es gibt genug möglichkeiten diese zu verlinken.

wenn ich das richtig verstanden habe, sind verlinkte avatare ja nicht betroffen.

aber die wahrscheinlichkeit ist mehr als gering mal eben an die session id des admins zu kommen

fanrpg · Beitrag von **fanrpg** » 15.05.2006 13:46

hebe hat geschrieben:aber die wahrscheinlichkeit ist mehr als gering mal eben an die session id des admins zu kommen

Doch hab noch letztens ne Anleitung gesehen wie das geht.
Hat auch funktioniert weiss nicht mehr so genau wie irgendwas war da mit das posten von urls.

TK · Beitrag von TK » 15.05.2006 13:50

Verlinkte Avatare sind das gefährlichste überhaupt: Wenn z.B. jemand ohne Cookies im Forum surft, dann wird bei ihm immer die SID in der URL angehängt. Wenn jetzt ein fremdes Bild von einem anderen Server als Avatar in den Foren-Seiten "eingebettet" geladen wird, dann erscheint in den Server-Logs des fremden Servers die URL, von der das Bild angefordert wurde. Also die URL mit SID. Wenn nun jemand seine Server-Logs zeitnah überwacht, kann er einfach diese URL aufrufen und ist automatisch eingeloggt als das Mitglied, das ohne Cookies im Forum unterwegs war oder immer noch ist (es sei denn, die SID wäre inzwischen ungültig -> da ausgeloggt - wenn der "Hijacker-Angriff" aber zeitnah geschieht, klappt es ohne Probleme). Wenn dieses Mitglied dann auch noch ein Admin/Moderator ist...