Sicherheit - letztes Update 21:32
Geschrieben von stefan am 30.04.2006 11:32:36  (17382 * gelesen)
Datum 30.04.2006 11:32:36
Thema OPN News
OPN NewsAchtung!


Es wurden heute mehrere Seiten mit speziell für OPN geschriebenen Hack-Tools angegriffen. Wir wurden darüber heute morgen 10.30 informiert. Nach Analyse und ersten Reperaturen ergeben sich diese Erkenntnisse:

  • Durch verschiedene Schwachstellen die auch von den PHP-Einstellungen abhängen, konnte so eine Sicherheitslücke ausgenutzt werden.
  • Es ist nicht automatisch jede Installation betroffen.


Es handelt sich hierbei um die PHP.ini Parameter:


  • register_globals
  • allow_url_fopen

Als erste Massnahme empfehlen wir die URL-Codierung einzuschalten.


Update: 30.04.2006 15:00


Sowohl im Trunk als auch im Branch befindet sich ein Security fix der master.php



Bisher ist noch kein Bericht eingegangen das eine Datenbank betroffen ist. Dies war ein gezielter Defacement Angriff. Jedoch wurden Dateien im Verzeichnis platziert die weitere Angriffe möglich machen, deshalb ist ein drastisches säubern der betroffenen Systeme unumgänglich!


Vorgehensweise bei betroffenen Systemen:



Weg 1 - aktuelles Backup ist vorhanden


  1. Die kompletten OPN-Files vom Webserver löschen!, ein überschreiben der Dateien ist nicht möglich, da die FTP-rechte nicht ausreichen. Der Hack verwendet höhere Rechte. So das die Dateien nur gelöscht werden können.
  2. backup zurück spielen

Weg 2 - kein Backup vorhanden


  1. mainfile.php sichern
  2. Cache Verzeichnis sichern
  3. Die kompletten OPN-Files vom Webserver löschen!, ein überschreiben der Dateien ist nicht möglich, da die FTP-rechte nicht ausreichen. Der Hack verwendet höhere Rechte. So das die Dateien nur gelöscht werden können.
  4. Die aktuelle OPN-Version inklusive dem Sicherheitspatch aufspielen.
  5. Die gesicherte mainfile.php Inhalt auf Auffälligkeiten prüfen und aufspielen
  6. Das gesicherte Cache Verzeichnis nach auffälligen Dateien durchsehen (Verzeichnis - lokal nach Dateien mit dem Datum des Angriffs durchsuchen. Bei einem Fund sind die Dateien zu löschen!) und dann zurück spielen.
  7. Die Verzeichnisrechte nach der Anleitung in der Dokumentation anpassen.


Unsere dringende Empfehlung!


  • Backup - in regelmäßigen Abständen ist ein muss in der heutigen Zeit.
  • Wenn möglich die PHP.ini Parameter register_globals auf off einstellen (Alternativ gezielt einen solchen Hoster suchen).

Security Fix - Download



Hier noch für alle die Subversion nicht nutzen wollen/können, hier bekommt Ihr die angepasste Datei: master.php als gepackte ZIP-Datei
Security fix - Download


Update: 30.04.2006 18:19



In den nächsten Stunden wird dann Tine so nett sein die 2.3.5 zu veröffentlichen.
Diese Version wird noch andere wichtige Updates enthalten. Wir raten dringend dieses Update auf Version 2.3.5 schnellstens einzuspielen.


Wichtig!


Administration - Einstellungen - Sicherheit

Sollen die Parameter bei den URLs codiert werden?     Ja/Nein
Die Codierung bietet ersten Schutz vor der automatisierten Suche nach OPN - Installationen, deshalb solltet Ihr diese Funktion nutzen



OPN Team


Notiz Security fix - Downloadmehr... 430 Wörter 7 Kommentare   Druckbare Version Druckbare Version mit Kommentaren     Auf Facebook posten http://www.openphpnuke.info/system/article/index.php?opnparams=VnZRaQYzXDwANQE5


Dieser Artikel stammt von der Webseite OpenPHPNuke - das Open Source CMS
http://www.openphpnuke.info

Die URL für diesen Artikel lautet
http://www.openphpnuke.info/system/article/index.php?opnparams=VnZRaQYzXDwANQE5
Re: Sicherheit - Update I
von stefan am 30.04.2006 14:05:22
Sollte das Portal betroffen sein hier der Hinweis zum korrigieren. minimal sofort Massnahme index.php - löschen master.php - löschen beide neu hochladen (saubere Version) dann jedes Verzeichniss / Datei löschen und neu hochladen mainfile.php ist meistens nicht betroffen läst sich ja kontroliieren sofern nicht betroffen kann die auch bestehen bleiben. wichtig auch das cache nach dateien zu überprüfen die dort nichts zu suchen haben. Das ist nur eine Grobe Darstellung bei Problemen oder Fragen ... Fragen
 

Re: Sicherheit - Update I
von MrLam am 30.04.2006 19:00:29

 Ich frage mich wie es sein kann, das jemand über OPN an die FTP Rechte kommt. Anders kann ich es mir nicht erklären warum die Eindringlinge nicht nur die OPN Seite sondern alle meine Seiten GELÖSCHT haben.

Dazwischen habe ich zwar mein Passwort bei 1&1 geändert aber der Server hat zu lange gebraucht um die Änderung gültig zu machen, das kann manchmal 30min dauern und das waren ca. 20min zu viel. Daraufhin habe ich 1&1 angerufen, die müssen ja auch ein Backup von meinem Server haben. Die sagten mir, das sie sowas nur machen wenn sie selber technische Probleme haben. Bedeutet für mich: 1&1 hat zwar ein Backup von gestern, will es mir aber nicht rüber spielen.

Danke, 1&1!!!

Also kann ich nur mein Backup vom November 2005 nehmen und alle meine Seiten rüber spielen. Bei manchen Seiten ist das nicht so schlimm, andere sind nicht so alt, aber es tut verdammt weh, vor allem weil die Lücke bei OPN aufgetreten ist und nicht - wie ich erwartet hätte - bei phpBB.

Der Support ist klasse, ohne Frage, aber in meinem Fall hat es nicht viel gebracht. :(
 

Re: Sicherheit - Update I
von hombergs am 30.04.2006 20:03:00 http://www.hhombergs.de

 Es gibt einen ständigen Kampf zwischen den Crackern und uns Softwareentwicklern. Wir haben OPN schon so Sicher gemacht wie es geht. Aber wenn einer eine Lücke findet und diese nicht uns meldet sondern die für eigene Sachen mißbraucht, müssen wir leider warten bis es zu einem Angriff kommt um darauf zu reagieren. Welche andere Portalsoftware läuft unter register_globals off und allow_fopen_url off? Kannst du mir da eine nennen? Entweder sollten diese beiden Sachen auf off stehen oder der PHP Safemode sollte aktiviert sein. Mein Hoster hat register_globals und allow_fopen_url auf on aber den Safemode aktiviert. Daher laufen die Einbruchsversuche mit diesem Hack bei mir auch ins leere. Also wer Lücken im System findet sollte sich schnellstens mit den OPN Entwicklern in Verbindung setzen. Wir versuchen dann schnellsten eine Lösung dafür zu finden.

Re: Sicherheit - Update
von bdragon am 30.04.2006 15:46:40 http://www.pxlartist.de
Danke Stefan, da zeigt sich wieder wie gut der support funktioniert.

Re: Sicherheit - Update
von Gast am 30.04.2006 18:47:28
es werden zusätzliche PHP Dateien angelegt die gelöscht werden müssen: Thumbs.php index_r.php c.php diese Dateien beinhalten den Trojaner html 99shell *** update *** im chache nach unbekannten Dateien suchen ebensocgi-bin hier könnte die Datei dc.pl oder ck.cgi vorhanden sein. Flash

Re: Sicherheit - letztes Update 21:32
von spinne am 01.05.2006 09:17:36 http://www.mein-spinnennetz.de
Das Security-Fix steht absoft zum Download zur Verfügung, die Versionen findet ihr im Downloadloadbereich
 

Re: Sicherheit - letztes Update 21:32
von hombergs am 02.05.2006 02:56:45 http://www.hhombergs.de

 Und nun nach langem Krampf, ähh Kampf auch auf Sourceforge.