Remote exploit unter class.inuse.php
Remote exploit unter class.inuse.php
saluzusammen,
mein server mit contenido 4.4 wurde soeben gehackt mittels einem remote exploit im class.inuse.php wegen fehlernder input validierung ist das ein bekannter exploit? muss nun halt ueber weihnachten auf 4.6 aktualisieren.
gruss
Evert
mein server mit contenido 4.4 wurde soeben gehackt mittels einem remote exploit im class.inuse.php wegen fehlernder input validierung ist das ein bekannter exploit? muss nun halt ueber weihnachten auf 4.6 aktualisieren.
gruss
Evert
-
- Beiträge: 3626
- Registriert: Di 12. Okt 2004, 20:00
- Wohnort: Voerde (Niederrhein)
- Kontaktdaten:
http://www.contenido.org/forum/viewtopic.php?t=10737
Sonst ist natürlich auch die neue 4.6.4 zu empfehlen, soweit die verwendeten Module darunter laufen bzw. du evtl. Anpassungen durchführen kannst.
Sonst ist natürlich auch die neue 4.6.4 zu empfehlen, soweit die verwendeten Module darunter laufen bzw. du evtl. Anpassungen durchführen kannst.
Remote exploit auch in 4.6.4
Mit 4.6.4 ist der exploit in class.inuse.php (und anderen) zwar behoben, ich habe aber leider noch einige Files entdeckt, die denselben Fehler aufweisen. Das sind
contenido/includes/include.con_subnav.php (besteht noch in 4.6.4)
contenido/includes/include.grouprights_subnav.php (besteht noch in 4.6.4)
contenido/includes/include.right_top_blank.php (besteht noch in 4.6.4)
contenido/includes/include.rights_subnav.php (besteht noch in 4.6.4)
contenido/includes/include.subnav.php (besteht noch in 4.6.4)
contenido/includes/include.tpl_subnav.php (besteht noch in 4.6.4)
contenido/includes/pseudo-cron.inc.php (besteht noch in 4.6.4, möglicherweise via crontab.txt hackbar)
Der exploit funktioniert nur wenn PHP mit register_globals=On und allow_url_fopen=On betrieben wird, was leider bei vielen Providern der Fall ist. Wenn's geht würde ich zumindest die allow_url_fopen auf Off stellen, da das meistens nicht benötigt wird und eine Menge Risiken birgt.
Weiters kann man noch mit .htaccess "Deny from all" Direktiven (in "classes", "contenido/includes", etc.) arbeiten, habe das aber noch nicht vollständig durchgetestet. Wäre toll wenn diese .htaccess files schon im Installationspaket in den Verzeichnissen vorhanden wären (die vorhandene "index.php" bringt sicherheitstechnisch nichts).
Manuell kann man oben genannte Lücken auch relativ rasch schließen, und zwar mit der Zeile (immer ganz oben einfügen):
Gerhard
contenido/includes/include.con_subnav.php (besteht noch in 4.6.4)
contenido/includes/include.grouprights_subnav.php (besteht noch in 4.6.4)
contenido/includes/include.right_top_blank.php (besteht noch in 4.6.4)
contenido/includes/include.rights_subnav.php (besteht noch in 4.6.4)
contenido/includes/include.subnav.php (besteht noch in 4.6.4)
contenido/includes/include.tpl_subnav.php (besteht noch in 4.6.4)
contenido/includes/pseudo-cron.inc.php (besteht noch in 4.6.4, möglicherweise via crontab.txt hackbar)
Der exploit funktioniert nur wenn PHP mit register_globals=On und allow_url_fopen=On betrieben wird, was leider bei vielen Providern der Fall ist. Wenn's geht würde ich zumindest die allow_url_fopen auf Off stellen, da das meistens nicht benötigt wird und eine Menge Risiken birgt.
Weiters kann man noch mit .htaccess "Deny from all" Direktiven (in "classes", "contenido/includes", etc.) arbeiten, habe das aber noch nicht vollständig durchgetestet. Wäre toll wenn diese .htaccess files schon im Installationspaket in den Verzeichnissen vorhanden wären (die vorhandene "index.php" bringt sicherheitstechnisch nichts).
Manuell kann man oben genannte Lücken auch relativ rasch schließen, und zwar mit der Zeile (immer ganz oben einfügen):
Code: Alles auswählen
if ( $_REQUEST['cfg'] ) { exit; } // workaround remote hacking exploit
-
- Beiträge: 1082
- Registriert: Di 22. Jul 2003, 10:14
- Wohnort: Hessen
- Kontaktdaten:
Diese ganzen Änderungen habe ich in einem kleine Paket zusammengepackt. Wer diese Änderungen ausführen möchte, findet alle Daten unter:
http://www.f-be.de/contenido-forum/contenidofix.zip
Einfach entpacken und die alten Daten überschreiben. Einstiegsebene ist das Verzeichnis /contenido/
Gruß
Florian
Nachtrag:
Der XML Fehler ist behoben, das kam bei mir aus einem andern Modul.
http://www.f-be.de/contenido-forum/contenidofix.zip
Einfach entpacken und die alten Daten überschreiben. Einstiegsebene ist das Verzeichnis /contenido/
Gruß
Florian
Nachtrag:
Der XML Fehler ist behoben, das kam bei mir aus einem andern Modul.
Zuletzt geändert von Beleuchtfix am So 5. Mär 2006, 13:51, insgesamt 2-mal geändert.
Kannst Du mal den Inhalt Deiner htaccess posten?
Gruß
HerrB
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
-
- Beiträge: 1082
- Registriert: Di 22. Jul 2003, 10:14
- Wohnort: Hessen
- Kontaktdaten:
Ich habe "meine" Änderungen noch einmal auf ein anderes System überspielt. Auch hier kann ich wieder keinen XML Export durchführen, Import geht.
Fehlermeldung:
Hat jemand eine Idee, woher das kommt.
Gruß
Florian
Fehlermeldung:
Code: Alles auswählen
Fatal error: Call to undefined function: uplcreatefriendlyname() in /www/htdocs/w00592c6/contenido/includes/include.mod_edit_form.php on line 54
Gruß
Florian
Re: Remote exploit auch in 4.6.4
Hallo
Gruss Robert
habe ich das richtig verstanden, sobald die register_globals auf off steht sind die sicherheitslücken auch automatisch geschlossen, ohne die dateien zu aktualisieren?goach hat geschrieben: Der exploit funktioniert nur wenn PHP mit register_globals=On und allow_url_fopen=On betrieben wird, was leider bei vielen Providern der Fall ist. Wenn's geht würde ich zumindest die allow_url_fopen auf Off stellen, da das meistens nicht benötigt wird und eine Menge Risiken birgt.
Gruss Robert
Yep. allow_url_fopen = off ist aber auch eine gute Idee.
Gruß
HerrB
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net