Defacing von Contenido-Seiten "We are an anomaly"

chobbert
Beiträge: 371
Registriert: Mo 14. Jul 2003, 10:14
Wohnort: Frankfurt am Main
Kontaktdaten:

Defacing von Contenido-Seiten "We are an anomaly"

Beitrag von chobbert » Do 8. Dez 2005, 14:09

Ok, hab gerade einen anderen Thread dazu gefunden...
http://contenido.org/forum/viewtopic.ph ... highlight=



Hallo,

letzte Nacht sind zwei von mir betriebene Seiten von Hackern "defaced" worden. Statt der Startseite wurde das folgende Bild angezeigt:

Bild

Wenn ich auf Google nach "We are an anomaly" suche, wird als erster Treffer ebenfalls eine Contenido-Seite aufgeführt (die aber inzwischen, ebenso wie meine Seiten, bereinigt wurde).

Kennt jemand dieses Problem oder die dahinter stehende Sicherheitslücke?


Schöne Grüße

Robert[/b]

timo
Beiträge: 6284
Registriert: Do 15. Mai 2003, 18:32
Wohnort: Da findet ihr mich nie!
Kontaktdaten:

Beitrag von timo » Do 8. Dez 2005, 14:16

Das Problem besteht vermutlich schon seit 4.4.x

Um bestehende Installationen zu schützen muß register_globals OFF sein. Ein Security Fix Release steht an.

timdubi
Beiträge: 75
Registriert: Fr 10. Sep 2004, 16:34
Kontaktdaten:

Beitrag von timdubi » Do 8. Dez 2005, 16:48

timo hat geschrieben:Das Problem besteht vermutlich schon seit 4.4.x

Um bestehende Installationen zu schützen muß register_globals OFF sein. Ein Security Fix Release steht an.
Keine Anhnung ob Ihr es eh schon wisst - aber die Leute von DomainFactory sind der Meinung das hier das Problem liegt:

<zensiert>

Gruß,
Thomas
Thomas

timo
Beiträge: 6284
Registriert: Do 15. Mai 2003, 18:32
Wohnort: Da findet ihr mich nie!
Kontaktdaten:

Beitrag von timo » Do 8. Dez 2005, 16:50

Das ist korrekt, ich habe deinen Beitrag jedoch zensiert. Ich möchte die genaue "Anleitung" nicht im Forum verbreitet haben, um Benutzer zu schützen die noch eine ältere Version im Einsatz haben.

mvf
Beiträge: 1758
Registriert: Mo 1. Aug 2005, 00:35
Wohnort: in der schönen Hallertau, mitten im Hopfen
Kontaktdaten:

Beitrag von mvf » Do 8. Dez 2005, 16:56

timo hat geschrieben: um Benutzer zu schützen die noch eine ältere Version im Einsatz haben...
da der thread in der 4.6.x Misc steht würd emich interessieren, was eine ältere version wäre, respektive ob die 4.6.2 das schon covert :?
Grüsse, Guido

"A common mistake that people make when trying to design something completely foolproof is to underestimate the ingenuity of complete fools."
Mostly Harmless - Douglas Adams

timdubi
Beiträge: 75
Registriert: Fr 10. Sep 2004, 16:34
Kontaktdaten:

Beitrag von timdubi » Do 8. Dez 2005, 17:03

mvf hat geschrieben:
timo hat geschrieben: um Benutzer zu schützen die noch eine ältere Version im Einsatz haben...
da der thread in der 4.6.x Misc steht würd emich interessieren, was eine ältere version wäre, respektive ob die 4.6.2 das schon covert :?
Davon würde ich nicht ausgehen, wenn ich das mal so lapidar sagen darf. Da Timo von "... seit 4.4.x" sprach, würde ich an Deiner Stelle auch bei den neueren Versionen die register_globals auf off setzen.

Mich würde aber interessieren ob es auch Sinn macht allow_url_fopen = off zu setzen. Das empfiehlt man bei DF-
Zuletzt geändert von timdubi am Do 8. Dez 2005, 17:08, insgesamt 1-mal geändert.
Thomas

timo
Beiträge: 6284
Registriert: Do 15. Mai 2003, 18:32
Wohnort: Da findet ihr mich nie!
Kontaktdaten:

Beitrag von timo » Do 8. Dez 2005, 17:05

mvf hat geschrieben:
timo hat geschrieben: um Benutzer zu schützen die noch eine ältere Version im Einsatz haben...
da der thread in der 4.6.x Misc steht würd emich interessieren, was eine ältere version wäre, respektive ob die 4.6.2 das schon covert :?
Das Problem besteht vermutlich schon seit Version 4.4.x

timo
Beiträge: 6284
Registriert: Do 15. Mai 2003, 18:32
Wohnort: Da findet ihr mich nie!
Kontaktdaten:

Beitrag von timo » Do 8. Dez 2005, 17:11

4.6.4 ist zum Download verfügbar

jost
Beiträge: 322
Registriert: Mo 10. Jan 2005, 20:12
Kontaktdaten:

Beitrag von jost » Do 8. Dez 2005, 17:38

Danke für die rasche Reaktion, Große Klasse - beim Dirigenten dauern solche Prozesse immer ewig.

timdubi
Beiträge: 75
Registriert: Fr 10. Sep 2004, 16:34
Kontaktdaten:

Beitrag von timdubi » Do 8. Dez 2005, 17:44

Schneller hab ich ein bugfixing noch nicht präsentiert bekommen - aller erste Sahne.

THX,
Thomas
Thomas

chobbert
Beiträge: 371
Registriert: Mo 14. Jul 2003, 10:14
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von chobbert » Do 8. Dez 2005, 18:18

hab ich das jetzt richtig verstanden? Mit der 4.6.4 ist diese erstmalig Sicherheitslücke gefixed?


Schöne Grüße

Robert

timo
Beiträge: 6284
Registriert: Do 15. Mai 2003, 18:32
Wohnort: Da findet ihr mich nie!
Kontaktdaten:

Beitrag von timo » Do 8. Dez 2005, 18:23

chobbert hat geschrieben:hab ich das jetzt richtig verstanden? Mit der 4.6.4 ist diese erstmalig Sicherheitslücke gefixed?
Ja, mit dem einfachen Grund: Die Sicherheitslücke war mir bis heute morgen nicht bekannt.

Wie soll es anders gehen?

absoluto
Beiträge: 71
Registriert: Mo 1. Mär 2004, 16:59
Wohnort: hanau
Kontaktdaten:

Beitrag von absoluto » Fr 9. Dez 2005, 08:17

super timo, das war rekordzeit!
vielen dank fuer die schnelle hilfe.

eine unserer seiten war ebenfalls gehackt (D)F und contenido 4.4.5)... ;-((

chobbert
Beiträge: 371
Registriert: Mo 14. Jul 2003, 10:14
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von chobbert » Sa 10. Dez 2005, 11:55

timo hat geschrieben: Wie soll es anders gehen?
Sorry, hab mich falsch ausgedrückt! Ich wollte nur sicher gehen, daß ich das richtig verstanden habe - in Deinem Posting stand einfach nicht klar drin, daß die Sicherheitslücke mit 4.6.4 geschlossen wurde (ok, hätte mir auch den Change-Log durchlesen können...).

Auch von mir noch einmal Vielen Dank für das schnelle Bereitstellen der neuen Version!


Schönes Wochenende

Robert

Halchteranerin
Beiträge: 5478
Registriert: Di 2. Mär 2004, 21:11
Wohnort: Halchter, wo sonst? ;-)
Kontaktdaten:

Beitrag von Halchteranerin » Sa 10. Dez 2005, 23:22

timo, laesst sich dieses Problem auch noch fuer die 4.4er Version(en) beheben? Oder waere es zu umstaendlich?

Gesperrt