Gehackt

du typo3 hat auch eine Sicherheitslücke , kommt halt drauf an welche Version du in welcher Software nimmst.

Teste am besten mal alles durch bevor du es endgültig laufen läßt.
Es gibt Programe wie Codescan u.s.w um das ales zu testen.

Milw0 war nur eine Beispiel Seite, es gibt durch aus noch andere und bessere Seiten, die vuln Software untersuchen und public machen.

mfg
the_condor
 
Also die Typo3 Seiten sind absolut auf dem neuesten Stand, mit allen updates.
Ist denn das mit dem open_basedir ok so?
Bin mir im Moment mit gar nix mehr sicher.
Brauch ein Bier jetzt.

Gruß und
Danke
 
Gerade wenn du "unsicheres Zeuchs" auf deinem Server hast, sollteste dir mal mod_security anschauen! Das hält dir auch ne Menge Ärger vom Hals ;)
 
du jo habe den Eintrag auch so.

Ja das mit der mod_security muß ich mir auch mal ankucken , ein bekannter hat sein Server so derpe Konfiguriert, das wenn Du in das Feld jetzt INSERT schreiben würdest , du nicht mehr auf Antworten klicken kannst. Kannst da nix Ausführen, was schädlichen Code enthält.

the_condor
 
Mit mod_security kenn ich noch keinen, der das mit Typo3 hinbekommen hat.
Sonst hätt ich das Teil schon am laufen.
Noch was interessantes:
Habe mir mal die gehackten Seiten dieses Herrn mal näher angeschaut auf dieser ominösen Homepage.
Fast ausnahmslos Mambo Seiten, nix anders.
Ich habe es geahnt, Mambo, so schön einfach es für die Kunden ist, Sicherheitslücken ohne Ende, u nd ausgerechnet jetz, wo ich die letzten auf Typo3 migrieren will, was dieser jemand schneller.
Jetzt hab ich den Salat.
Nun denn, wenn ich diese Nacht hackertechnisc überlebe, läuft morgen wieder alles, aber garantiert nix Mambo.
Gott zu Gruße
 
Gut das zu wissen, vor paar Tagen gab es eine neue Version von Mambo, 4.6.2, die ich gerade installieren wollte ... Joomla 1.0.12 habe ich installiert, hat das auch Probleme ?
 
Das es Sicherheitslücken hat ist sehr wahrscheinlich. Nur sie wurden eben noch nicht entdeckt bzw. nicht veröffentlicht. Auf die schnelle habe ich jetzt nichts gesehen. Aber die Joomla Erweiterungen haben teilweise Lücken.
 
Also fast alle Progis

wie Mambo,phpbb,phpbb2,phpnuke,Clanportale,wbb,showit und Co haben löscher.
Die einen sind etwas harmlos und die anderen sind halt schwerer, das reicht von der normalen SQL Injec bis zur RemoteFileinclusion.

Selbst confixx,Plesk,secureEmail hat solche Bugs! Kuckt euch mal das Webmin an, die hatten eine dir Bug was es zugelassen hat die Shadow Datei des Server zu öffnen.

edit:// hier dein Typo3 Demo
hxxp://packetstormsecurity.org/0503-exploits/typo3sql.txt

the_condor
 
Last edited by a moderator:
@the_condor
Link funzt net mehr:
edit:// hier dein Typo3 Demo
hxxp://packetstormsecurity.org/0503-exploits/typo3sql.txt
Click to expand...
Habe mich aber trotzdem auf dieser Seite umgeschaut, was Typo3 betrifft, so glaube ich, sind alle dort aufgeführten Sicherheitslücken dicht mit update auf 4.0.5.
Sicher kann man freilich nie sein, aber irgendwie eine gute Grundsicherung sollte man schon hinbekommen.
Gegen diese Hackerprofis ist eh kein Kraut gewachsen, wenn die hacken wollen, dann tun die das.
Man kommt in jedes System rein, leider.
Habe jetzt eine Joomla Seite auf 1.0.12 aktualisiert, dieser werde ich aber sämtliche schreibrechte entziehen, so das es zwar kein richtiges CMS mehr ist, aber sicherer. Zur Aktualisierung setze ich halt wieder die Rechte.
Fahr das Dingens jetzt mit 644 statt 755 (rechte mäßig).

Mal sehen was als nächtes kommt.

Gruß

Achso, was und wie testet denn man so ein Script?
hxxp://packetstormsecurity.org/0503-exploits/typo3sql.txt
 
@Andy

die url ist extra mit xx gemacht das Du die nicht von hier aus aufrufen kannst.
Der Link geht , naja gut ich hatte einmal in typo 3 reingeschaut - kann jetzt dazu wirklich nix sagen, aber in der URL wird halt eine SQL Injec. beschrieben - die es ermöglicht den Admin Hash zu holen oder halt mit ja und nein Abzufragen.

Aber wie in dem Thema schon erwähnt , immer schön Updaten und die neusten Security Infos im Augebehalten.

Ich hatte mir dann mal überlegt in alle Ordner die kein php Enthalten (upload Ordner,images) einfach php auszuschalten b.z.w zuverbieten. Jedoch hat mir einer davon abgeraden das es trozdem möglich sei in diesem Ordner php auszuführen.

@blob

Und haste schonmal was getestet? Würde mich mal Intressieren ;)
Bevor ich es Installiere ;)

mfg
the_condor
 
Es läuft hier seit heute morgen, macht keine Probleme, aber obs nützlich ist, weiß ich auch nicht.

Installation einfach: übersetzen, in httpd.conf 3 Zeilen ändern, und eins oder mehrere Konfig-Dateien (beigefügt) oder eine eigene benutzen, worin man ganz detailliert angeben kann, wie auf bestimmte Vorkommnisse reagiert werden soll (Protokoll oder Blocken)
 
Erwähnen solltest du noch, dass wenn man mod_security einsetzt man das ganze wirklich nur auf das nötigste reduzieren sollte (von den Regeln her). Mod_security braucht viele Ressourcen. Selbstverständlich kommt es aber auch draufan, welchen Server du hast und wie viele Zugriffe es darauf gibt. Ich hatte mod_security einmal getestet - 10 Minuten später war es wieder herunten ;)
 
Das mit den Rescourcen stimmt wohl, deswegen hab ich von gotroot.com nicht alle Regeln eingebunden und muß bis dato sagen, dass ich heilfroh bin das mod drin zu haben ;)
 
Hallo DerFalk,

ich bin auf der Suche nach einem Apache2-mod das sämtliche IP´s von denen mehrere 404-Errors innerhalb sehr kurzer Zeit erzeugt werden blockt. Kann das mod_security? Würden die IP´s dann umgeleitet wie bei mod_evasive oder von einer Firewall gesperrt werden?

Danke
Daniel




DerFalk said:
Das mit den Rescourcen stimmt wohl, deswegen hab ich von gotroot.com nicht alle Regeln eingebunden und muß bis dato sagen, dass ich heilfroh bin das mod drin zu haben ;)
Click to expand...
 
Moin, Moin
@the_condor
die url ist extra mit xx gemacht
Click to expand...
ja, das weis ich doch:cool:
Funzt trotzdem nicht.
Habe mich aber wie oben geschrieben, auf dieser Seite umgeschaut zwecks Typo3.
Gibt ja einiges, aber lt. Typo3.org alles gefixt.
Man hofft es zumindest.
Modsecurity war/ist ein Thema für mich, kenn aber keinen der das mit Typo3 hinbekommen hat.
Vielleicht sollte man nur noch HTML Seiten bauen:mad:
Muss aber dazu sagen, das ich wohl net ganz unschuldig bin, da der Server wohl etwas verkonfiguriert war. Der Apache User lief mit Gruppe psacln (Plesk-FTP-Gruppe)also Apache User wwwrun Gruppe psacln.
Fragt mich net, wie ich darauf gekommen bin, das so zu machen.
Das hab ich jetzt geändert und läuft wieder alles unter wwwrun:psacln und 750.
Hoffe mal, das es so jetzt besser läuft.
Meine anderen 3 Server waren zum Glück nicht betroffen, entweder wusste derjenige nix von denen(glaub ich aber net) oder er kam net rein.
Laut Logs ist da derzeit kein Eibruch zu verzeichnen und auch die Typo3 Logs sind sauber.
Aber es ist definitiv so, das auf dieser Hacker Seite fast ausnahmslos Mambo/Joomla Seiten betroffen sind, bzw. wohl über diese der Einbruch kam.
Habe jetzt nur noch eine Joomla Seite eines Kunden am laufen, habe sie aber selbstverständlich auf den neuesten Stand gebracht.
Mal sehen, wie lange das hält.

Gruß
 
andreas_63 said:
Muss aber dazu sagen, das ich wohl net ganz unschuldig bin, da der Server wohl etwas verkonfiguriert war. Der Apache User lief mit Gruppe psacln (Plesk-FTP-Gruppe)also Apache User wwwrun Gruppe psacln.
Fragt mich net, wie ich darauf gekommen bin, das so zu machen.
Das hab ich jetzt geändert und läuft wieder alles unter wwwrun:psacln und 750.
Hoffe mal, das es so jetzt besser läuft.
Click to expand...

Und was hast Du da jetzt geändert? vorher wwwrun/psacln und nach der änderung auch wwwrun/psacln? :confused:
 
@DerFalk
aber ich frage mich warum der wwwrun nicht auch in der psacln-Gruppe laufen DÜRFEN sollte
Click to expand...
Naja, weil doch alle Kunden in dieser Gruppe sind.

@elzschiko
Und was hast Du da jetzt geändert? vorher wwwrun/psacln und nach der änderung auch wwwrun/psacln?
Click to expand...
äh naja sorry, war etwas Missverständlich von mir.
Ich hatte in der uid.conf des Apachen folgendes stehen:
User wwwrun
Group psacln
und jetzt habe ich:
User wwwrun
Group www

Wie mans macht, ist eh immer verkehrt

Danke und
Gruß aus Meiningen
 
You must log in or register to reply here.
Back
Top