|
karlgruener
Beiträge: 6
|
 noch einmal: Datei envio.de
|
Hallo Urs Gamper,
danke für die schnelle Antwort. Ich habe aber am 8. April das Update auf 4.1.1 installiert. Die Datei trägt ja auch erst das Datum von gestern, 15.04.2010, 7.24 Uhr! Sie können sie einsehen unter www.kreszentia-stift.de/dynpg/envio.php. Ich habe auf jeden Fall bei der Datei jetzt die Attribute auf 000 gesetzt. Wenn Sie mir definitiv sagen, dass die Datei nicht von Ihnen stammt, dann lösche ich sie. Dann gibt es aber auf jeden Fall ein Leck im cms.
Gruß
Karl Grüner
|
|
|
|
|
|
|
16.04.2010 16:08
|
ZITIEREN
| ANTWORTEN
|
|
Urs Gamper
Beiträge: 531
|
Hallo Herr Grüner
Diese Datei stammt definitiv nicht von DynPG.
Wir sind der Meinung, dass die Sicherheitslücke mit der Version 4.1.1 gefixt ist. Doch um nun ganz sicher zu gehen, sollte beim Webserver in den php-Einstellungen register_globals = off eingestellt sein und optional noch magic_quotes_gpc = on.
DynPG kann auch ohne Probleme in "php safe mode" ausgeführt werden. Somit können solche Probleme schon serverseitig umgangen werden.
Zur Sicherheit sollten Sie aber in jedem Fall die Zugangspasswörter ändern. Es es gibt leider sehr viele Möglichkeiten einen Server zu hacken und muss überhaupt nicht zwingend an DynPG liegen! Das habe ich - leider - selbst schon mehrfach erlebt.
Freundliche Grüsse
Urs Gamper
|
gamper media GmbH
5621 Zufikon
+41-56-631 80 23
|
|
|
|
|
16.04.2010 16:56
|
ZITIEREN
| ANTWORTEN
|
|
Daniel Schliebner
Beiträge: 382
|
|
Könnten Sie die Datei envio.php einmal gepackt als zip o.ä. posten? Ggf. gibt ihr Inhalt Aufschluss...
|
Mit freundlichen Grüßen
ds-develop
Daniel Schliebner
Webmaster & Programmierer
http://www.ds-develop.de
Bietzkestraße 18A
10315 Berlin
GERMANY
Tel.: +49 30 33980300
|
|
|
|
|
16.04.2010 17:30
|
ZITIEREN
| ANTWORTEN
|
|
karlgruener
Beiträge: 6
|
|
Datei envio.php
|
Hallo Herr Schliebner,
leider habe ich die Datei envio.php ersatzlos gelöscht und kann sie Ihnen deshalb nicht mehr zusenden. Ich habe sie mir aber vorher kurz angesehen. Sie war auf Portugiesisch verfasst und enthielt wohl die Anweisung zum E-Mail-Versand ("envio" heißt auf Spanisch/Portugiesisch "Versand"). Dabei tauchte die Adresse "seguranca@bradesco.com.br " auf. Bradesco ist eine Bank in Brasilien.
Im Weblog meiner Site erschienen dann Hunderte von Eintragungen der folgenden Art, die jeweils einer versandten Mail entsprechen:
2010-04-16 12:20:45 p8341643 4Ag5El-1O2ifE417q-0002cj => petioleg8@sarnhelen.fsnet.co.uk msmtp.kundenserver.de[172.19.35.7] 250 Message 0MVHuk-1NxmgV0rRW-00Yf1y accepted by mreu0.kundenserver.de
2010-04-16 12:20:45 p8341643 4Ag5El-1O2ifF2Cbx-0002cr |< REMOTE=189.75.123.24 SCRIPT=/dynpg/envio.php -- /usr/sbin/sendmail -t -i
2010-04-16 12:20:45 p8341643 4Ag5El-1O2ifF2Cbx-0002cr
|
|
|
|
|
|
|
18.04.2010 15:21
|
ZITIEREN
| ANTWORTEN
|
|
karlgruener
Beiträge: 6
|
|
Datei envio.php
|
Hallo Herr Schliebner,
offenbar wurde mein Posting nicht vollständig übertragen.
Die fehlenden Zeilen sind:
2010-04-16 12:20:45 p8341643 4Ag5El-1O2ifF2Cbx-0002cr
S=seguranca@bradesco.com.br SZ=4900 D=0 SID=36268395
envio.php ist also das Versand-Script.
Laut Provider 1&1 war der Eingangsport für den Hacker die Datei ./dynpg/counter.php.
Mit freundlichen Grüßen
Karl Grüner
|
|
|
|
|
|
|
18.04.2010 15:47
|
ZITIEREN
| ANTWORTEN
|
|
Chris
Beiträge: 510
|
Hallo Herr Grüner,
Eigentlich wurde genau dieses Leck in der counter.php beim update auf die version 4.1.1 gestopft. Ich habe Ihnen die angepasste Datei nochmals an diesen Thread angehängt. Bitte entpacken und auf Ihrem Webserver ersetzen.
mfg
chris.w.
|
*************************************
Christoph Würsch
Urbanización Aranjuez
Asturianas No° 23
Asuncion / Paraguay
-------------------------------------
Tel: +595 (0)21 332 984
-------------------------------------
http://www.chriswuersch.com
*************************************
|
|
Attachments
|
|
1
|
Attachment (Dateityp: zip, Größe: 3 Kb)
|
|
|
|
19.04.2010 15:54
|
ZITIEREN
| ANTWORTEN
|
|
Daniel Schliebner
Beiträge: 382
|
Hallo!
Es kann auch sein, dass noch zur Zeit, zu der noch eine ältere Version vor 4.1.1 installiert war, bereits der Angriff stattgefunden hat und danach ggf. durch eine shell noch Änderungen an der envio.php vorgenommen wurden (und dadurch der neue Zeitstempel der Datei zustande gekommen ist). Jedenfalls sollte es ab Version 4.1.1 keine Sicherheitslücken in der counter.php mehr geben.
|
Mit freundlichen Grüßen
ds-develop
Daniel Schliebner
Webmaster & Programmierer
http://www.ds-develop.de
Bietzkestraße 18A
10315 Berlin
GERMANY
Tel.: +49 30 33980300
|
|
|
|
|
19.04.2010 16:39
|
ZITIEREN
| ANTWORTEN
|
|
karlgruener
Beiträge: 6
|
|
Datei envio.de
|
...wie auch immer: Im Augenblick scheint das Problem beseitigt zu sein. Ich hoffe, dass es dabei bleibt. Danke für Ihre Bemühungen.
Karl Grüner
|
|
|
|
|
|
|
19.04.2010 18:25
|
ZITIEREN
| ANTWORTEN
|
|
karlgruener
Beiträge: 6
|
|
counter.php ausgetauscht
|
Danke für die Datei. Ich habe sie ausgetauscht.
Beste Grüße
Karl Grüner
|
|
|
|
|
|
|
19.04.2010 18:34
|
ZITIEREN
| ANTWORTEN
|
