Page 1 of 1
Crackversuche
Posted: Wed Jan 23, 2008 12:31 pm
by ]MaX[
Ich bin Admin einer kleinen Seite bei 1und1 die unter CMS made simpel läuft. Folgende Email hat der Inhaber der Domain von 1und1 bekommen:
Code: Select all
Sehr geehrter Herr xxx,
wir mussten einen über Ihre Präsenz ausgeführten Angriff auf unseren
Webserver registrieren. Ausgangspunkt waren Ihre PHP-Scripte, welche
anscheinend das Hochladen beliebiger Scripte erlauben.
Bitte untersuchen Sie Ihren Webspace auf veränderte Dateien und
entfernen Sie vom Angreifer hinterlegte Programme. Das den Dateiupload
erlaubende Script sollte angepasst werden, sodass keine Ausführbaren
Dateien mehr von Dritten hochgeladen werden können.
82.119.134.114 - - [13/Jan/2008:21:01:40 +0100] "POST
/admin/moduleinterface.php HTTP/1.1" 302 4908 www.tld.de "-"
"Opera/9.21 (Windows NT 5.1; U; ru)" "-"
82.119.134.114 - - [13/Jan/2008:21:02:32 +0100] "POST
/images/cms/top_image.php HTTP/1.1" 200 1315 www.tld.de "-"
"Opera/9.21 (Windows NT 5.1; U; ru)" "-"
Wir haben im entsprechenden Verzeichnis eine .htaccess hinterlegt, die
den Dateiabruf auf einige gängige Grafikformate beschränkt.
Auf dem Webspace läuft die aktuelle Version. Als Extras das Gästebuch, FormBuilder, dboptimizer und FCKeditorX.
Da ich von PHP nicht wirklich die Ahnung habe, Poste ich das ganze mal hier, eventuell kann ja jemand was dazu sagen.
Re: Crackversuche
Posted: Wed Jan 23, 2008 2:22 pm
by RonnyK
Welche CMSMS version hast du am augenblick. Es hat locher gegeben im vorigen Versionen, die sind gelost im 1.2.3 (un sogar ein zusatzliche im CMSmailer von 1.2.3) wonach 1.2.4 auskommen werd......
Drehst du 1.2.3?
Ronny
Re: Crackversuche
Posted: Wed Jan 23, 2008 2:43 pm
by ]MaX[
Das müsste die Vorgängerversion gewesen sein 1.2.2. Ich habe mit dem anderen Admin gerade nochmal gesprochen, die Datei
gehört ja eigentlich auch nicht in den Ordner, zumidest bei mir habe ich die in keiner Installation gefunden. Die Datei lies sich wohl auch nicht runterladen oder anschauen, so das man sie nur löschen konnte. Also muß die besagte Datei irgendwie dort hochgeladen worden sein. Die Frage ist nur wie?
Re: Crackversuche
Posted: Wed Jan 23, 2008 3:01 pm
by NaN
Schau mal hier:
http://forum.cmsmadesimple.org/index.php/topic,18250.0.html
Ich hab auch keine Ahnung, wie Seiten gehackt werden können bzw. was genau eine Sicherheitslücke ist.
Aber wenn mir hier gesagt wird, dass es ein Update zum Beheben solcher Fehler gibt, wird das bei mir immer sofort installiert.
Re: Crackversuche
Posted: Wed Jan 23, 2008 4:14 pm
by cyberman
]MaX[ wrote:
die Datei
gehört ja eigentlich auch nicht in den Ordner
Das kann ich bestätigen - in diesem Verzeichnis sind nur Bilder!
Welche Rechte hast du denn für dieses Verzeichnis gesetzt?
Mit folgender .htaccess-Datei (die sich im zu schützenden Verzeichnis befinden muss) kannst du die Ausführung von php-Dateien verhindern:
Code: Select all
<Files *.php>
Order deny,allow
Deny from All
</Files>
Wenn du anstatt .php in der ersten Zeile etwas anderes angibst (z.Bsp. .jpg), könntest du genau so den Direktzugriff auf jpg-Dateien verhindern.
Re: Crackversuche
Posted: Wed Jan 23, 2008 4:25 pm
by ]MaX[
Also 1und1 hat uns da eine htaccess reingeschoben.
Code: Select all
# 1&1 admin Mon Jan 14 09:54:02 CET 2008
<FilesMatch \.(gif|png|jpe?g)$>
allow from all
</FilesMatch>
deny from all
Ich denke ich werde das auch erstmal so beibehalten.
Re: Crackversuche
Posted: Wed Jan 23, 2008 4:33 pm
by cyberman
Ist doch nett, wenn die das für Ihre Kunden machen
...
Re: Crackversuche
Posted: Wed Jan 23, 2008 5:47 pm
by ]MaX[
Das ist richtig, andere wären da wohl einen anderen Weg gegangen.
Re: Crackversuche
Posted: Wed Jan 23, 2008 9:12 pm
by cyberman
Um aber noch mal auf den Ursprung zurück zu kommen - das Problem ist nicht CMSms-spezifisch, sondern betrifft jede INet-Anwendung mit ungeschützten Verzeichnissen