Crackversuche

[]MaX[]

Ich bin Admin einer kleinen Seite bei 1und1 die unter CMS made simpel läuft. Folgende Email hat der Inhaber der Domain von 1und1 bekommen:

Code: Select all

Sehr geehrter Herr xxx,

wir mussten einen über Ihre Präsenz ausgeführten Angriff auf unseren
Webserver registrieren. Ausgangspunkt waren Ihre PHP-Scripte, welche
anscheinend das Hochladen beliebiger Scripte erlauben.

Bitte untersuchen Sie Ihren Webspace auf veränderte Dateien und
entfernen Sie vom Angreifer hinterlegte Programme. Das den Dateiupload
erlaubende Script sollte angepasst werden, sodass keine Ausführbaren
Dateien mehr von Dritten hochgeladen werden können.

82.119.134.114 - - [13/Jan/2008:21:01:40 +0100] "POST
/admin/moduleinterface.php HTTP/1.1" 302 4908 www.tld.de "-"
"Opera/9.21 (Windows NT 5.1; U; ru)" "-"
82.119.134.114 - - [13/Jan/2008:21:02:32 +0100] "POST
/images/cms/top_image.php HTTP/1.1" 200 1315 www.tld.de "-"
"Opera/9.21 (Windows NT 5.1; U; ru)" "-"

Wir haben im entsprechenden Verzeichnis eine .htaccess hinterlegt, die
den Dateiabruf auf einige gängige Grafikformate beschränkt.

Auf dem Webspace läuft die aktuelle Version. Als Extras das Gästebuch, FormBuilder, dboptimizer und FCKeditorX.
Da ich von PHP nicht wirklich die Ahnung habe, Poste ich das ganze mal hier, eventuell kann ja jemand was dazu sagen.

[RonnyK]

Welche CMSMS version hast du am augenblick. Es hat locher gegeben im vorigen Versionen, die sind gelost im 1.2.3 (un sogar ein zusatzliche im CMSmailer von 1.2.3) wonach 1.2.4 auskommen werd......

Drehst du 1.2.3?

Ronny

[]MaX[]

Das müsste die Vorgängerversion gewesen sein 1.2.2. Ich habe mit dem anderen Admin gerade nochmal gesprochen, die Datei

Code: Select all

/images/cms/top_image.php

gehört ja eigentlich auch nicht in den Ordner, zumidest bei mir habe ich die in keiner Installation gefunden. Die Datei lies sich wohl auch nicht runterladen oder anschauen, so das man sie nur löschen konnte. Also muß die besagte Datei irgendwie dort hochgeladen worden sein. Die Frage ist nur wie?

[NaN]

Schau mal hier: http://forum.cmsmadesimple.org/index.php/topic,18250.0.html
Ich hab auch keine Ahnung, wie Seiten gehackt werden können bzw. was genau eine Sicherheitslücke ist.
Aber wenn mir hier gesagt wird, dass es ein Update zum Beheben solcher Fehler gibt, wird das bei mir immer sofort installiert.

[cyberman]

die Datei

Code: Select all

/images/cms/top_image.php

gehört ja eigentlich auch nicht in den Ordner

Das kann ich bestätigen - in diesem Verzeichnis sind nur Bilder!

Welche Rechte hast du denn für dieses Verzeichnis gesetzt?

Mit folgender .htaccess-Datei (die sich im zu schützenden Verzeichnis befinden muss) kannst du die Ausführung von php-Dateien verhindern:

Code: Select all

<Files *.php>
    Order deny,allow
    Deny from All
</Files>

Wenn du anstatt .php in der ersten Zeile etwas anderes angibst (z.Bsp. .jpg), könntest du genau so den Direktzugriff auf jpg-Dateien verhindern.

[]MaX[]

Also 1und1 hat uns da eine htaccess reingeschoben.

Code: Select all

# 1&1 admin Mon Jan 14 09:54:02 CET 2008

<FilesMatch \.(gif|png|jpe?g)$>
  allow from all
</FilesMatch>

deny from all

Ich denke ich werde das auch erstmal so beibehalten.

[cyberman]

Ist doch nett, wenn die das für Ihre Kunden machen ...

[]MaX[]

Das ist richtig, andere wären da wohl einen anderen Weg gegangen.

[cyberman]

Um aber noch mal auf den Ursprung zurück zu kommen - das Problem ist nicht CMSms-spezifisch, sondern betrifft jede INet-Anwendung mit ungeschützten Verzeichnissen