Forum

Salve

@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen.

bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege....

stefan schrieb am 01.05.2006 um 10:36:09 Uhr folgendes:

du hast irgendwann mal bei der installation dein $root_path angegeben. genau das wollte ich jetzt wissen. es steht in der mainfile.php

$root_path = 'weis ned was du da stehen hast';

wenn in dem 'weis ned was du da stehen hast' ein ftp oder ein http oder ein @ drin ist (was eigentlich nicht richtig wäre oder sein sollte) dann kommt es zu der meldung da eben über den weg der einbruch statt fand.

rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem.

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164

if ( (substr_count ($root_path, 'http')>0) OR (substr_count ($root_path, 'ftp')>0) OR (substr_count ($root_path, '@')>0) ) {
die ('Hack Try: level 1');
}

das mal ändern in


if (ereg ('^[(http)|(ftp)|(@)]',$root_path)) {
die ('Hack Try: level 1');
}



<span class="smalltext">[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:04 (Originaldatum 01.05.2006 10:36) ]</span>

[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:11 (Originaldatum 01.05.2006 10:36) ]

alex meinte wohl das

Kann ca. 30 (erfolglose) Angriffe auf ein Portal melden (verschiedene IP, verschiedene root_path-Verweise, vornehmlich auf Freespace-Anbieter), letzter heute gegen 9:43 Uhr. Angriff erfolgt auf system/article/master.php oder andere Module, aber immer master.php. Wie es scheint haben einige der Script-Kiddies sich die Seite erst einmal angesehen, andere sind gleich zur Sache gegangen. Ich bezweifle aber dass es speziell um OPN ging.
Leider waren auch keine Referer zu finden gewesen.

P.S. Das Crack-Script liegt mir vor!
P.P.S. Haben einen Referer von Google.com gefunden, in dem nach "powered by OpenPHPNuke" gesucht wurde. Allerdings erfolgte auf diesem Portal kein Einbruchsversuch. Tipp: Wer noch nicht hat Tracking einschalten!

Salve

Es geht, aber

rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem.

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164

Ich zitiere jetzt nur das was Stephan so meinte.

So wie ich das verstehe ist jetzt trotzdem kein Schutz da, und das macht die Sache nicht gerade besser.

das mit dem "ereg" was, stefan gepostet hat, müsste auch auf plesk installtionen gehen. Bitte mal testen und berichten.

Alex

Salve

Versteht mich nicht falsch, aber der Security Fix sollte auch für Plesk bzw. andere Systeme gehen und das System "sicher" machen, den so wie ich das verstehe ist jetzt das System noch immer nicht sicher bei mir

@ Mike

Bei erfolgreichem Angriff wird die Startseite ausgetauscht (index.php)
Gibt da mittlerweilen verschiedenste Versionen.

Wenn das bei dir nicht der Fall ist, dann kannst Du mal in die Server Logs schauen. Da findest Du eventuel Seitenaufrufe über die master.php

GET /portal/master.php?root_path=http:.........

Flash

das interesiert mich nun aber auch, im Errorlog?

a das se nimmer funktioniert und b. kannst auch in deinen logs nachschaun ob ein versuch eines hacks war

Woran erkenne ich denn, ob eine Seite angegriffen wurde?
Ciao,
Mike