Hallo
ich habe seit 3tagen eine Problem mit CMSms. (hier in der Vers. 1.4.1)
Das System wird von Hackern als Phishing Station verwendet.
Es ist offensichtlich möglich über adodb_lite den Server nach 777 Rechten wie z.B. bei den Verzeichnissen Temp , Cache und Uploads - und ggf. auch das Verzeichnis Module zu durchforsten.
Dann werden eine paar Dateien überspielt - die man nur als Eigentümer "Root" wieder löschen kann - und schon hat der jenige ein Phishing Seite auf dem Server erstellt und lässt sich dann per E-Mail die Zugangsdaten übermitteln.
Man sollte also seine cms Version durchforsten nach verdächtigen Verzeichnissen, die nicht in die Verzeichnisse gehören.
wie z.B. Abbey; Abbey-online; www.halifax.co.uk oder www.wachovia.com
Ein Augenmerk hierbei sollte den Verzeichnissen die die Rechte 777 auf dem Server haben, gewidmet werden.
Soweit man Zugriff auf Logfils des Servers hat, sollte man nach Aktivitäten mit folgenden Link suchen:
..... http://DOMAIN-NAME.DE/lib/adodb_lite/ad ... Connection ........
Über diese Funktion verschaffen sich die Hacker eine Übersicht über Struktur und Verzeichnisse und können dann die entsprechenden Dateien übertragen.
Dabei auffällig der plötzlich ansteigende Traffic auf der Website oder Mitteilungen von englischen Banken, die einen mitteilen, dass deine Doman als Phishingsite verwendet wird - so wie bei mir geschehen.
Ich bin leider kein Sicherheitsprofi, um den Ausmaß richtig beurteilen zu können, jedoch hat mir mein System diese Schwachstelle gezeigt.
Weitere Infos gebe ich gern per PN
Sicherheitsproblem bei Adodb_Lite
Sicherheitsproblem bei Adodb_Lite
Last edited by maggy on Tue Nov 11, 2008 11:57 am, edited 1 time in total.
-
NaN
Re: Sicherheitsproblem bei Adodb_Lite
adoDB Lite hat meines Wissens keine solche Schwachstelle.
Aus dem von Dir geschilderten Problem kann ich auch nicht entnehmen wo dort adoDB Lite zum Einsatz kommt.
Für solche phishing-Sachen werden meist Serverscripte benötigt.
Verzeichnisse, die die Berechtigung 777 haben, sollten auf jeden Fall - sofern das für das CMS nicht unbedingt nötig ist - via .htaccess-Datei den direkten Zugriff auf Serverscripte (z.B. php) verbieten. Im Verzeichnis tmp (und allen Unterordnern) und im Verzeichnis Uploads sollte das auf jeden Fall verboten werden.
Ließ Dir hierzu auch mal die Themen zur Sicherheit durch:
http://forum.cmsmadesimple.org/index.ph ... 664.0.html
http://forum.cmsmadesimple.org/index.ph ... 541.0.html
Es gab schonmal ein Thema in dem angeblich adoDB Lite Schuld an einem Angriff gewesen sein soll:
http://forum.cmsmadesimple.org/index.ph ... 535.0.html
Es stellte sich heraus, dass im Verzeichnis von adoDB Lite ein Script eingeschleust wurde, das dann den Upload beliebiger Dateien in beschreibbare Verzeichnisse ermöglichte.
Dieses Script wurde anscheinend vor einem Update auf die aktuellste Version über den damals noch anfälligen FileManager eingeschleust, sodass auch eine sichere Version weiterhin für Hacks anfällig war.
Der Fehler liegt meiner Meinung nach nicht bei adoDB Lite, sondern daran, wie man seine "offenen" Verzeichnisse schützt.
Das kann das CMS leider nicht vollständig automatisch übernehmen.
Falls Dein Provider Dir anderes über adoDB Lite erzählt hat, würde mich (und vor allem die Entwickler) diese Sicherheitslücke sehr interessieren. (pm)
Aus dem von Dir geschilderten Problem kann ich auch nicht entnehmen wo dort adoDB Lite zum Einsatz kommt.
Für solche phishing-Sachen werden meist Serverscripte benötigt.
Verzeichnisse, die die Berechtigung 777 haben, sollten auf jeden Fall - sofern das für das CMS nicht unbedingt nötig ist - via .htaccess-Datei den direkten Zugriff auf Serverscripte (z.B. php) verbieten. Im Verzeichnis tmp (und allen Unterordnern) und im Verzeichnis Uploads sollte das auf jeden Fall verboten werden.
Ließ Dir hierzu auch mal die Themen zur Sicherheit durch:
http://forum.cmsmadesimple.org/index.ph ... 664.0.html
http://forum.cmsmadesimple.org/index.ph ... 541.0.html
Es gab schonmal ein Thema in dem angeblich adoDB Lite Schuld an einem Angriff gewesen sein soll:
http://forum.cmsmadesimple.org/index.ph ... 535.0.html
Es stellte sich heraus, dass im Verzeichnis von adoDB Lite ein Script eingeschleust wurde, das dann den Upload beliebiger Dateien in beschreibbare Verzeichnisse ermöglichte.
Dieses Script wurde anscheinend vor einem Update auf die aktuellste Version über den damals noch anfälligen FileManager eingeschleust, sodass auch eine sichere Version weiterhin für Hacks anfällig war.
Der Fehler liegt meiner Meinung nach nicht bei adoDB Lite, sondern daran, wie man seine "offenen" Verzeichnisse schützt.
Das kann das CMS leider nicht vollständig automatisch übernehmen.
Falls Dein Provider Dir anderes über adoDB Lite erzählt hat, würde mich (und vor allem die Entwickler) diese Sicherheitslücke sehr interessieren. (pm)
-
cyberman
Re: Sicherheitsproblem bei Adodb_Lite
Zunächst erst einmal vielen Dank für die Meldung hier im Forum.
Hast du evtl. deine 1.4.1 / ADOdb lite nicht vollständig aktualisiert?
Wenn ich versuche, wie von dir beschrieben auf eine 1.4.1 zuzugreifen, erscheint hier lediglich ein
Hast du evtl. deine 1.4.1 / ADOdb lite nicht vollständig aktualisiert?
Wenn ich versuche, wie von dir beschrieben auf eine 1.4.1 zuzugreifen, erscheint hier lediglich ein
Attempt to use ADODB from outside of CMS
