Autor |
|
McBright Registriert: 21.09.2004
Beiträge:
149
Wohnort: Wien
|
Security-Fix
Geschrieben: 01.05.2006 12:30
Salve
@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit
problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen.
bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege....
|
|
spinne Registriert: 21.08.2003
Wohnort: Luzern
|
Security-Fix
Geschrieben: 01.05.2006 12:25
du hast irgendwann mal bei der installation dein $root_path angegeben. genau das wollte ich jetzt wissen. es steht in der mainfile.php
$root_path = 'weis ned was du da stehen hast';
wenn in dem 'weis ned was du da stehen hast' ein ftp oder ein http oder ein @ drin ist (was eigentlich nicht richtig wäre oder sein sollte) dann kommt es zu der meldung da eben über den weg der einbruch statt fand.
rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem.
problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164
if ( (substr_count ($root_path, 'http')>0) OR (substr_count ($root_path, 'ftp')>0) OR (substr_count ($root_path, '@')>0) ) {
die ('Hack Try: level 1');
}
das mal ändern in
if (ereg ('^[(http)|(ftp)|(@)]',$root_path)) {
die ('Hack Try: level 1');
}
<span class="smalltext">[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:04 (Originaldatum 01.05.2006 10:36) ]</span>
[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:11 (Originaldatum 01.05.2006 10:36) ]
alex meinte wohl das
|
|
Webschmied
Registriert: 02.09.2001
Beiträge:
540
Wohnort: Dresden
|
Security-Fix
Geschrieben: 01.05.2006 12:22
Kann ca. 30 (erfolglose) Angriffe auf ein Portal melden (verschiedene IP, verschiedene root_path-Verweise, vornehmlich auf Freespace-Anbieter), letzter heute gegen 9:43 Uhr. Angriff erfolgt auf system/article/master.php oder andere Module, aber immer master.php. Wie es scheint haben einige der Script-Kiddies sich die Seite erst einmal angesehen, andere sind gleich zur Sache gegangen. Ich bezweifle aber dass es speziell um OPN ging.
Leider waren auch keine Referer zu finden gewesen.
P.S. Das Crack-Script liegt mir vor!
P.P.S. Haben einen Referer von Google.com gefunden, in dem nach "powered by OpenPHPNuke" gesucht wurde. Allerdings erfolgte auf diesem Portal kein Einbruchsversuch. Tipp: Wer noch nicht hat Tracking einschalten!
W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction
[ Diese Nachricht wurde bearbeitet von: Webschmied am 01.05.2006 12:52 (Originaldatum 01.05.2006 12:22) ]
|
|
McBright Registriert: 21.09.2004
Beiträge:
149
Wohnort: Wien
|
Security-Fix
Geschrieben: 01.05.2006 12:19
Salve
Es geht, aber
rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem.
problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164
Ich zitiere jetzt nur das was Stephan so meinte.
So wie ich das verstehe ist jetzt trotzdem kein Schutz da, und das macht die Sache nicht gerade besser.
|
|
xweber Registriert: 22.08.2001
Beiträge:
1496
|
Geschrieben: 01.05.2006 12:10
das mit dem "ereg" was, stefan gepostet hat, müsste auch auf plesk installtionen gehen. Bitte mal testen und berichten.
Alex
|
|
McBright Registriert: 21.09.2004
Beiträge:
149
Wohnort: Wien
|
Security-Fix
Geschrieben: 01.05.2006 11:57
Salve
Versteht mich nicht falsch, aber der Security Fix sollte auch für Plesk bzw. andere Systeme gehen und das System "sicher" machen, den so wie ich das verstehe ist jetzt das System noch immer nicht sicher bei mir
|
|
Gast
Unregistrierter Benutzer
|
Security-Fix
Geschrieben: 01.05.2006 11:53
@ Mike
Bei erfolgreichem Angriff wird die Startseite ausgetauscht (index.php)
Gibt da mittlerweilen verschiedenste Versionen.
Wenn das bei dir nicht der Fall ist, dann kannst Du mal in die Server Logs schauen. Da findest Du eventuel Seitenaufrufe über die master.php
GET /portal/master.php?root_path=http:.........
Flash
[addsig]
|
|
darksweetys Registriert: 28.12.2005
Beiträge:
638
|
Security-Fix
Geschrieben: 01.05.2006 11:53
das interesiert mich nun aber auch, im Errorlog?
|
|
spinne Registriert: 21.08.2003
Wohnort: Luzern
|
Geschrieben: 01.05.2006 11:46
a das se nimmer funktioniert und b. kannst auch in deinen logs nachschaun ob ein versuch eines hacks war
|
|
zfkum Registriert: 25.03.2004
Beiträge:
102
Wohnort: Düsseldorf
|
Geschrieben: 01.05.2006 11:24
Woran erkenne ich denn, ob eine Seite angegriffen wurde?
Ciao,
Mike
|
|