Link Mod gehackt?

[Hegse]

Hallo.

Heute Nachmittag hat sich jemand über meinen Account bei mir im Forum angemeldet. Ich habe jetzt mal nachgeschaut wie die Person das gemacht hat.
Und zwar ist diejenige Person über Google auf meine links.php gekommen.
http://www.google.com.mx/search?q=%22Li ... rt=90&sa=N

Folgendes dann: links.php?t=search&search_keywords=asd&start=1%2C1+UNION+SELECT+1%2Cusername%2Cuser_password%2C4%2C5%2C6%2C7...

Dieser Suchbefehl auf der links.php Seite ist noch etwas länger. Weiter führe ich den jetzt aber nicht auf weil ich mir vorstellen kann das man damit jedesmal das Passwort verschlüsselt auslesen kann.
Was kann ich jetzt dagegen tun? In meinen Logdaten wurde schon häufiger nach dem Links+MOD+v1.2.2+by+phpBB2.de gesucht. Ist dieser Mod zu unsicher???
Gruß Hegse

[Seimon]

http://securityreason.com/exploitalert/2690

verlink mal die links.php

[Hegse]

Hier ist meine links.php
Links.txt

[Seimon]

Meiner Meinung nach behebt das diese Lücke:

finde:

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;

ersetze durch:

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? intval(htmlspecialchars($HTTP_GET_VARS['start'])) : 0;

Ich aber kein Securityspezialist und außerdem würd ich einem Mod mit einem so weit offenem Scheunentor nicht mehr voll vertrauen, können noch viele anderen Sicherheitslücken drin sein!
Vielleicht prüft ja jemand den MOD koplett auf Lücken

[Hegse]

Meiner Meinung nach behebt das diese Lücke:

finde:

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;

ersetze durch:

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? intval(htmlspecialchars($HTTP_GET_VARS['start'])) : 0;

Klasse, das hat schon mal geholfen!
Wenn ich die Abfrage jetzt nochmal starte wird zumidest nichts ausgegeben.
Mal schauen wie die Zugriffe auf die links.php in Zukunft sind, wenn sowas noch einmal passieren sollte bau ich ihn ganz aus!
@Seimon
Ich hatte nebenbei ein Thread dazu auf cback.de, da habe ich deine Lösung jetzt mal mit einem Verweis auf dein Posting hier rein geschrieben. Link

[Parse Error]

Hi,

der MOD ist aber nicht betroffen, oder?

## MOD Title: Links Page
## MOD Author: Joe Seys < joeseys@zerocubed.net > http://zerocubed.net
## MOD Description: This will add a new page to your site that lists a set of links
## that you can configure.
## MOD Version: 1.0

P.E.

[fanrpg]

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? intval(htmlspecialchars($HTTP_GET_VARS['start'])) : 0;

Das htmlspecialchars() kann weg, bringt durch die Anwendung von intval() keine Mehrsicherheit, nur mehr Serverlast.
Aber sonst dürfte damit die Sicherheitslücke gestopft sein.

[Parse Error]

Und, welcher MOD ist überhaupt betroffen?

P.E.

[oxpus]

Und, welcher MOD ist überhaupt betroffen?

P.E.

Eigentlich alle, bei denen Strings und Zahlen nicht abgesichert übernommen werden.
Es wäre für die komplette "mögliche" Sicherheit im ersten Schritt also jedes Script zu prüfen.
Auch ich finde bei mir immer noch mal eine Stelle, wo ich die Sicherheitsschraube andrehe...

[Parse Error]

Also ist der MOD auch gefährdet?

## MOD Title: Links Page
## MOD Author: Joe Seys < joeseys@zerocubed.net > http://zerocubed.net
## MOD Description: This will add a new page to your site that lists a set of links
## that you can configure.
## MOD Version: 1.0

Bringt es was, wenn man auf VBulletin oder dieses Burning Board umsteigt?

Oder schützt wenigstens dieser CrackerTracker vor so einem Mist? (Bitte nur seriöse Antworten und keine Lobhodeleien.)

P.E.