VHCS 2.4.7.1 Remote Root Exploit

Armadillo

Armadillo

Registered User
So, da ja ein neuer Exploit für VHCS existiert, habe ich mich mal schlau gemacht und hab auch schon eine Lösung gefunden:

Man muss in der php.ini folgende Änderung durchführen:

Code: 
disable_functions = system,system_exec,passthru,shell,shell_exec,exec

und folgende Änderung in der my.cnf des MySQLd in der Sektion [mysqld]:

Code: 
local-infile=0

Ich hab das selber leider ncoh nicht getestet, da ich grade keine VM mit VHCS zur Hand habe, werde es in den kommenden Stunden aber mal ausprobieren und dann hier natürlich entsprechend Auskunft geben.;)
 
Also hier ist mal der Exploit:

http://mgsdl.free.fr/?1:34

Ich habs jetzt mit allem Möglichen versucht. Extra ne neue VM aufgesetzt und schnell mein VHCS-Installscript drübergejagt, nen Reseller und nen Benutzer angelegt. Dann hab ich den Exploit ausgefüht. Und das einzige was ich erhalte ist: Bad username/password.

Wenn man sihc den Code von dem Ding mal genauer anguckt muss man auch sagen, dass der Exploit maximal funktionieren kann, wenn eine valide Username/passwort Kombination für das VHCS hat.Anders kann das, zumidnest was aus dem Code ersichtlich is, nicht funktionieren! Deshalb würde ich sogar glatt behaupten, dass der Exploit als ungefährlich einzustufen ist, zumal er bei mir nicht mal mit validen Kombinationen funktioniert hat. ;)
Ich lehne mich auch mal so weit aus dem fenster und behaupte, wer das automatische Installscript verwendet ist davor sicher, weil ich keine Möglichkeit gefunden habe, um VHCS damit zu beschädigen, oder gar in das System einzudringen. :)
 
Verständnisfrage

Bei dem Exploit handelt es sich ja um ein php script. Interessanterweise steht in der ersten Zeile
Code: 
#!/usr/bin/php -q
Das deutet IMHO darauf hin dass hier php cli - comand line interface - genutzt werden soll. Also wird das script im shell ausgeführt, oder wie?!

Ich versteh nicht so ganz, wie das exploit funktionieren soll. Es muss doch irgendwie auf dem Server landen um ausgeführt werden zu können, oder?
 
Nein, das ist ein Remote-Exploit. Der wird über eine eigene Shell auf nem eigenen oder nem weiteren gehackten Server ausgeführt. Der Zielserver kann angegeben werden und wenn man eine valide Benutzername-/Login-Kombination hat, funktioniert er, angeblich...
Bei mir war das, nach der Installation von VHCS mit meinem Installationsscript für Debian und Ubuntu, nicht der Fall, egal wieviele Benutzer ich angelegt hatte.
 
Ah,...

... und wie sehen die Chancen des Scripts aus, wenn das var/www/vhcs2 Verzeichnis manuell mit einer Kombination aus .htaccess und geeigneter Passwortdatei verriegelt ist?
 
You must log in or register to reply here.
Back
Top