Forum

Moderiert von: stefan, spinne
Forum Index
Support
     Installation und Update
     Security-Fix
Hilfe anzeigen
Hilfe anzeigen

Seite 1 2 3 4 vorherige Seite nächste Seite 


Autor Druckerfreundliche DarstellungSecurity-Fix
spinne
Registriert: 21.08.2003
Wohnort: Luzern


Sende eine Private Nachricht an spinne Besuche die Homepage von spinne
Geschrieben: 01.05.2006 11:46

a das se nimmer funktioniert und b. kannst auch in deinen logs nachschaun ob ein versuch eines hacks war


Zitieren Druckerfreundliche Darstellung nach oben
darksweetys
Registriert: 28.12.2005
Beiträge: 638


Sende eine Private Nachricht an darksweetys Besuche die Homepage von darksweetys
MSNM
Geschrieben: 01.05.2006 11:53

das interesiert mich nun aber auch, im Errorlog?


Zitieren Druckerfreundliche Darstellung nach oben
Gast
Unregistrierter Benutzer
Geschrieben: 01.05.2006 11:53

@ Mike

Bei erfolgreichem Angriff wird die Startseite ausgetauscht (index.php)
Gibt da mittlerweilen verschiedenste Versionen.

Wenn das bei dir nicht der Fall ist, dann kannst Du mal in die Server Logs schauen. Da findest Du eventuel Seitenaufrufe über die master.php

GET /portal/master.php?root_path=http:.........


Flash
[addsig]

Zitieren Druckerfreundliche Darstellung nach oben
McBright
Registriert: 21.09.2004
Beiträge: 149
Wohnort: Wien


Sende eine Private Nachricht an McBright Besuche die Homepage von McBright
Geschrieben: 01.05.2006 11:57

Salve

Versteht mich nicht falsch, aber der Security Fix sollte auch für Plesk bzw. andere Systeme gehen und das System "sicher" machen, den so wie ich das verstehe ist jetzt das System noch immer nicht sicher bei mir







Zitieren Druckerfreundliche Darstellung nach oben
xweber
Registriert: 22.08.2001
Beiträge: 1496


Sende eine Private Nachricht an xweber
Geschrieben: 01.05.2006 12:10

das mit dem "ereg" was, stefan gepostet hat, müsste auch auf plesk installtionen gehen. Bitte mal testen und berichten.

Alex


Zitieren Druckerfreundliche Darstellung nach oben
McBright
Registriert: 21.09.2004
Beiträge: 149
Wohnort: Wien


Sende eine Private Nachricht an McBright Besuche die Homepage von McBright
Geschrieben: 01.05.2006 12:19

Salve

Es geht, aber

rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem.

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164


Ich zitiere jetzt nur das was Stephan so meinte.

So wie ich das verstehe ist jetzt trotzdem kein Schutz da, und das macht die Sache nicht gerade besser.







Zitieren Druckerfreundliche Darstellung nach oben
Webschmied

Registriert: 02.09.2001
Beiträge: 540
Wohnort: Dresden


Sende eine Private Nachricht an Webschmied Besuche die Homepage von Webschmied
ICQ
Geschrieben: 01.05.2006 12:22

Kann ca. 30 (erfolglose) Angriffe auf ein Portal melden (verschiedene IP, verschiedene root_path-Verweise, vornehmlich auf Freespace-Anbieter), letzter heute gegen 9:43 Uhr. Angriff erfolgt auf system/article/master.php oder andere Module, aber immer master.php. Wie es scheint haben einige der Script-Kiddies sich die Seite erst einmal angesehen, andere sind gleich zur Sache gegangen. Ich bezweifle aber dass es speziell um OPN ging.
Leider waren auch keine Referer zu finden gewesen.

P.S. Das Crack-Script liegt mir vor!
P.P.S. Haben einen Referer von Google.com gefunden, in dem nach "powered by OpenPHPNuke" gesucht wurde. Allerdings erfolgte auf diesem Portal kein Einbruchsversuch. Tipp: Wer noch nicht hat Tracking einschalten!



W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction

[ Diese Nachricht wurde bearbeitet von: Webschmied am 01.05.2006 12:52 (Originaldatum 01.05.2006 12:22) ]

Zitieren Druckerfreundliche Darstellung nach oben
spinne
Registriert: 21.08.2003
Wohnort: Luzern


Sende eine Private Nachricht an spinne Besuche die Homepage von spinne
Geschrieben: 01.05.2006 12:25

stefan schrieb am 01.05.2006 um 10:36:09 Uhr folgendes:

du hast irgendwann mal bei der installation dein $root_path angegeben. genau das wollte ich jetzt wissen. es steht in der mainfile.php

$root_path = 'weis ned was du da stehen hast';

wenn in dem 'weis ned was du da stehen hast' ein ftp oder ein http oder ein @ drin ist (was eigentlich nicht richtig wäre oder sein sollte) dann kommt es zu der meldung da eben über den weg der einbruch statt fand.

rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem.

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164

if ( (substr_count ($root_path, 'http')>0) OR (substr_count ($root_path, 'ftp')>0) OR (substr_count ($root_path, '@')>0) ) {
die ('Hack Try: level 1');
}

das mal ändern in


if (ereg ('^[(http)|(ftp)|(@)]',$root_path)) {
die ('Hack Try: level 1');
}



<span class="smalltext">[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:04 (Originaldatum 01.05.2006 10:36) ]</span>

[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:11 (Originaldatum 01.05.2006 10:36) ]



alex meinte wohl das


Zitieren Druckerfreundliche Darstellung nach oben
McBright
Registriert: 21.09.2004
Beiträge: 149
Wohnort: Wien


Sende eine Private Nachricht an McBright Besuche die Homepage von McBright
Geschrieben: 01.05.2006 12:30

Salve

@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen.


bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege....







Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Geschrieben: 01.05.2006 12:50

McBright schrieb am 01.05.2006 um 11:57:32 Uhr folgendes:

Salve

Versteht mich nicht falsch, aber der Security Fix sollte auch für Plesk bzw. andere Systeme gehen und das System "sicher" machen, den so wie ich das verstehe ist jetzt das System noch immer nicht sicher bei mir


a) ist das hot-fix aus dem artikel bereits angepasst worden
b) wird das update netter weise durch tine im hintergrund ebenfalls angepasst werden
c) zaubern können wir nun auch nicht

d) die konfigurationen sind sehr vielfältig das dieses mit plesk sofort nicht ging ist sagen wir mal pech. es ist nicht möglich alle systeme die es gibt vorher zutesten.

nur um mal einen eindruck zu geben ... getestet wurde unter folgenden system jeweils 100% richtig konfiguriert teilweise mit Confixx

(W) IIS 4 php 5.1.2
(L) apache 2.0.54 php 4.4.2
(W) apache 2.2.0 php 5.1.2
(L) apache 1.3.26 php 4.4.1

tatsache ist das eine richtige Server Config (100% richtig) eigentlich jeden angriff stoppen bzw verhindern kann.

Klar ist das es leider viel zu viele schlechte installationen gibt.

Es ist somit unmöglich jede auch nur denkbare Config zu testen. Es geht eben nicht anderes als das wenn Probleme da sind, sie gelöst werden. Und wenn es sein muss durch einen fix für einen fix für einen fix.

Tut mir leid aber ich verstehe da das probnlem nicht wirklich es wird hier sicherlich schnell geholfen. Auf alle fälle so schnell wie möglich. Sicher unterscheiden wir zwischen wichtig und unwichtiger. Trotzdem wenn nicht jemand überstürzt irgendwas tut wovon er keine ahnung hat und uns auch ne moment zeit läst nach zudenken. kann man eigentlich alles irgendwie hinbiegen.

der neuste fix sollte dann auch unter plesk gehen. und auch da wirken. aber auch das ändert nichts daran das eigentlich die php.ini angepasst werden sollte... da wo das problem sitzt.

Wie heinz schon sagte wenn man uns nichts meldet oder sagt dann ist es auch nicht möglich zu reagieren.

Und nochmal Backups sollte man immer haben oder wie wir adrenalin junky sein




Zitieren Druckerfreundliche Darstellung nach oben
sortieren nach
Seite 1 2 3 4 vorherige Seite nächste Seite 

Hilfe anzeigen
Hilfe anzeigen
Vorheriges Thema:  bitte schnelle - Update-Problem
Nächstes Thema:  Update pre subversion 2.3.0 und release 2.3.0

Gehe zu:

Benutzername:
 
Sicherheits-Code
Sicherheits-Code
Neu laden