Sicherheit - letztes Update 21:32

OPN NewsAchtung!


Es wurden heute mehrere Seiten mit speziell für OPN geschriebenen Hack-Tools angegriffen. Wir wurden darüber heute morgen 10.30 informiert. Nach Analyse und ersten Reperaturen ergeben sich diese Erkenntnisse:

  • Durch verschiedene Schwachstellen die auch von den PHP-Einstellungen abhängen, konnte so eine Sicherheitslücke ausgenutzt werden.
  • Es ist nicht automatisch jede Installation betroffen.


Es handelt sich hierbei um die PHP.ini Parameter:


  • register_globals
  • allow_url_fopen

Als erste Massnahme empfehlen wir die URL-Codierung einzuschalten.


Update: 30.04.2006 15:00


Sowohl im Trunk als auch im Branch befindet sich ein Security fix der master.php



Bisher ist noch kein Bericht eingegangen das eine Datenbank betroffen ist. Dies war ein gezielter Defacement Angriff. Jedoch wurden Dateien im Verzeichnis platziert die weitere Angriffe möglich machen, deshalb ist ein drastisches säubern der betroffenen Systeme unumgänglich!


Vorgehensweise bei betroffenen Systemen:



Weg 1 - aktuelles Backup ist vorhanden


  1. Die kompletten OPN-Files vom Webserver löschen!, ein überschreiben der Dateien ist nicht möglich, da die FTP-rechte nicht ausreichen. Der Hack verwendet höhere Rechte. So das die Dateien nur gelöscht werden können.
  2. backup zurück spielen

Weg 2 - kein Backup vorhanden


  1. mainfile.php sichern
  2. Cache Verzeichnis sichern
  3. Die kompletten OPN-Files vom Webserver löschen!, ein überschreiben der Dateien ist nicht möglich, da die FTP-rechte nicht ausreichen. Der Hack verwendet höhere Rechte. So das die Dateien nur gelöscht werden können.
  4. Die aktuelle OPN-Version inklusive dem Sicherheitspatch aufspielen.
  5. Die gesicherte mainfile.php Inhalt auf Auffälligkeiten prüfen und aufspielen
  6. Das gesicherte Cache Verzeichnis nach auffälligen Dateien durchsehen (Verzeichnis - lokal nach Dateien mit dem Datum des Angriffs durchsuchen. Bei einem Fund sind die Dateien zu löschen!) und dann zurück spielen.
  7. Die Verzeichnisrechte nach der Anleitung in der Dokumentation anpassen.


Unsere dringende Empfehlung!


  • Backup - in regelmäßigen Abständen ist ein muss in der heutigen Zeit.
  • Wenn möglich die PHP.ini Parameter register_globals auf off einstellen (Alternativ gezielt einen solchen Hoster suchen).

Security Fix - Download



Hier noch für alle die Subversion nicht nutzen wollen/können, hier bekommt Ihr die angepasste Datei: master.php als gepackte ZIP-Datei
Security fix - Download


Update: 30.04.2006 18:19



In den nächsten Stunden wird dann Tine so nett sein die 2.3.5 zu veröffentlichen.
Diese Version wird noch andere wichtige Updates enthalten. Wir raten dringend dieses Update auf Version 2.3.5 schnellstens einzuspielen.


Wichtig!


Administration - Einstellungen - Sicherheit

Sollen die Parameter bei den URLs codiert werden?     Ja/Nein
Die Codierung bietet ersten Schutz vor der automatisierten Suche nach OPN - Installationen, deshalb solltet Ihr diese Funktion nutzen



OPN Team


Notiz Security fix - Download

Geschrieben von stefan am 30.04.2006 11:32:36  (8453 * gelesen) 

 Druckbare Version Druckbare Version mit Kommentaren     Auf Facebook posten http://www.openphpnuke.info/system/article/index.php?opnparams=VnZRaQYzXDwANQE5

Kommentare

Grenze
Für den Inhalt der Kommentare sind die Verfasser verantwortlich.


Re: Sicherheit - Update I 
von stefan  am 30.04.2006 14:05:22 
Sollte das Portal betroffen sein hier der Hinweis zum korrigieren.

minimal sofort Massnahme

index.php - löschen
master.php - löschen

beide neu hochladen (saubere Version)

dann jedes Verzeichniss / Datei löschen und neu hochladen

mainfile.php ist meistens nicht betroffen läst sich ja kontroliieren sofern nicht betroffen kann die auch bestehen bleiben.

wichtig auch das cache nach dateien zu überprüfen die dort nichts zu suchen haben.

Das ist nur eine Grobe Darstellung bei Problemen oder Fragen ... Fragen
Re: Sicherheit - Update 
von Flash am 30.04.2006 18:47:28  http://www.renderworld.ch
es werden zusätzliche PHP Dateien angelegt die gelöscht werden müssen:

Thumbs.php
index_r.php
c.php

diese Dateien beinhalten den Trojaner html 99shell

*** update ***
im chache nach unbekannten Dateien suchen ebensocgi-bin

hier könnte die Datei dc.pl oder ck.cgi vorhanden sein.

Flash
Re: Sicherheit - Update 
von bdragon am 30.04.2006 15:46:40  http://www.pxlartist.de
Danke Stefan,

da zeigt sich wieder wie gut der support funktioniert.

Re: Sicherheit - letztes Update 21:32 
von spinne  am 01.05.2006 09:17:36  http://www.mein-spinnennetz.ch
Das Security-Fix steht absoft zum Download zur Verfügung, die Versionen findet ihr im Downloadloadbereich