Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge

 
Erweiterte Suche

5263 Beiträge in 1103 Themen- von 587 Mitglieder - Neuestes Mitglied: Vossi

06.01.2009 09:01
ProfiHost - SupportforumFragen zu Angeboten und/oder an ProfiHostContenidoSicherheitslücke zu Contenido
« vorheriges nächstes »
Seiten: [1]   Nach unten
Drucken
Autor Thema: Sicherheitslücke zu Contenido  (Gelesen 3821 mal)
Halchteranerin
Full Member
***
Offline Offline

Beiträge: 126


Profil anzeigen
« am: 06.01.2007 01:29 »
Hallo,

mein Norton Antivirus ueberpruefte heute das System, und es meldete mir gleich zweimal "Hacktool.Flooder". Bei den Details sah ich, dass es sich um die letzte Datensicherung von Profihost vom 1.1.07 handelte, die ich im uebrigen nicht richtig auspacken kann. .tgz wird nach .tar ausgepackt, aber wenn ich .tar auspacken will, bekomme ich CRC error, oder dass der Dateiformat nicht unterstuetzt wird (7zip kann das aber eigentlich) etc. Ich habe die Datei auch nochmal heruntergeladen, daran liegt's also nicht.

So, von NAV kam ein Verweis auf die mode.tar, die in der mode.tgz enthalten sein soll. Ich machte mich auf die Suche und wurde im Verzeichnis cgi-bin auf dem Server fuendig. Dort ist eine Datei ev.pl mit dem Datum 31.05.06 und eine mode.tgz mit dem Datum 25.12.06 enthalten. In der Datensicherung vom 1.9.06 (die letzte, die ich heruntergeladen habe) war das Verzeichnis cgi-bin uebrigens leer. Ich kann mich auch nicht erinnern, dorthin Dateien hochgeladen zu haben. Wenn man die mode.tgz auspackt, wird ein Verzeichnis .sh angelegt. Wenn ich mir die Inhalte anschaue, scheint sich NAV nicht vertan zu haben.

Die Preisfrage ist: wann und wie sind diese beiden Dateien dorthin gekommen. Kann man das irgendwie noch nachvollziehen (damit ich das in Zukunft unterbinden kann)?

Alles, was ich in einer access.log gefunden habe, sind solche Eintraege:
Zitat
202.93.47.194 - - [25/Dec/2006:13:02:51 +0100] "POST /cgi-bin/ev.pl HTTP/1.0" 200 1959 "http://halchter.de/cgi-bin/ev.pl" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
und
Zitat
202.93.47.194 - - [25/Dec/2006:13:10:46 +0100] "GET /cgi-bin/ev.pl?a=upload&d=%2fwww0901%2fwww%2ehalchter%2ecom%2fcgi%2dbin%2f%2esh%2fscripts HTTP/1.0" 200 2197 "http://halchter.de/cgi-bin/ev.pl" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
(die Datei befindet sich selbstverstaendlich nicht mehr dort, sollte jemand auf die glorreiche Idee kommen, sie aufzurufen Grinsend)

Bei meinem anderen Paket ist das cgi-bin-Verzeichnis uebrigens nach wie vor leer.

Viele Gruesse
Christa
« Letzte Änderung: 10.01.2007 14:46 von ProfiHost - Technik » Gespeichert
Michael
Full Member
***
Offline Offline

Beiträge: 161


Profil anzeigen WWW
« Antworten #1 am: 06.01.2007 14:44 »
Hallo Christa

Zitat von: Halchteranerin am 06.01.2007 01:29
Die Preisfrage ist: wann und wie sind diese beiden Dateien dorthin gekommen. Kann man das irgendwie noch nachvollziehen (damit ich das in Zukunft unterbinden kann)?
Dorthin gelangt sind die Dateien z.B. durch eine Lücke im verwendeten CMS oder ein selbstgeschriebenes Script, welches sich dazu verwenden ließ, beliebige Dateien in beliebige Verzeichnisse Deiner wwwroot heraufzuladen. Du verwendest doch Contenido? Gab's da vielleicht in letzter Zeit eine bekanntgewordene Lücke?

Zitat
Alles, was ich in einer access.log gefunden habe, sind solche Eintraege:
Zitat
202.93.47.194 - - [25/Dec/2006:13:02:51 +0100] "POST /cgi-bin/ev.pl HTTP/1.0" 200 1959 "http://halchter.de/cgi-bin/ev.pl" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
und
Zitat
202.93.47.194 - - [25/Dec/2006:13:10:46 +0100] "GET /cgi-bin/ev.pl?a=upload&d=%2fwww0901%2fwww%2ehalchter%2ecom%2fcgi%2dbin%2f%2esh%2fscripts HTTP/1.0" 200 2197 "http://halchter.de/cgi-bin/ev.pl" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Das war dann der Versuch, das platzierte Perl-Skript zu nutzen um weitere Dinge auf dem Server durchzuführen.

Zitat
Bei meinem anderen Paket ist das cgi-bin-Verzeichnis uebrigens nach wie vor leer.
Kann ein Zufall sein oder ein Hinweis auf die Lücke bei halchter.de/com (hier vielleicht kein CMS oder ein anderes eingesetzt?)

Gruß
Michael
Gespeichert
Inlinestrecken im Rheinland ... und anderswo
http://www.inlinestrecken.de
Inlinestrecken-Such-Katalog
http://suche.inlinestrecken.de
Halchteranerin
Full Member
***
Offline Offline

Beiträge: 126


Profil anzeigen
« Antworten #2 am: 08.01.2007 16:46 »
Hallo Michael,

es gab zwar ein paar Sicherheitsluecken, aber die habe ich bei beiden Paketen "eigentlich" gestopft.

Hmm ...

Gruss
Christa
Gespeichert
Michael
Full Member
***
Offline Offline

Beiträge: 161


Profil anzeigen WWW
« Antworten #3 am: 08.01.2007 22:05 »
Hallo Christa,

da braucht zwischen Entdeckung der Lücke (durch die "Bösen") und Veröffentlichung der Lücke / des Patches nur eine "etwas zu lange" Zeit gelegen haben, und schon lagen die Dateien auf Deinem Webspace. Ab dem Zeitpunkt wird die eigentliche Lücke natürlich nicht mehr benötigt.

Gruß
Michael
Gespeichert
Inlinestrecken im Rheinland ... und anderswo
http://www.inlinestrecken.de
Inlinestrecken-Such-Katalog
http://suche.inlinestrecken.de
ProfiHost - Technik
Administrator
Hero Member
*****
Offline Offline

Beiträge: 1626


Profil anzeigen
« Antworten #4 am: 10.01.2007 14:48 »
Soweit bekannt, ist diese Sicherheitslücke selbst in der aktuellsten Contenido Version nicht behoben.

Die einfachste Variante ist, eine eigene php.ini oberhalb des www. Ordners anzulegen mit dem Inhalt:
allow_url_fopen=Off
Gespeichert
Mit freundlichen Grüßen
Ihr ProfiHost Team
Seiten: [1]   Nach oben
Drucken
« vorheriges nächstes »
Gehe zu:  

Theme orange-lt created by panic