Navigation

Suche

Nichts gefunden?
Suche mit erweiterten Optionen.

Anzeigen

Anmeldung

Download

Aktuelle Version
Zikula 1.0.2

Dt. Sprachpakete Download

SVN Nightly Builds
Zikula SVN Build

Artikel-Archiv

nach Kategorie: Buch-Tipps.; CMS Allgemein.; CMS Anleitungen.; CMS Blöcke.; CMS Interview.; CMS Module.; CMS Sicherheit.; CMS Themes.; pnMeeting.; PostNuke e.V..; Steering Committee.

nach Datum: Oktober 2008.; September 2008.; August 2008.; Juli 2008.; Juni 2008.; Mai 2008.; April 2008.; März 2008.; Februar 2008.; Januar 2008.; Dezember 2007.; November 2007.

Sicherheitshinweis: Remote File Inclusion bei Postguestbook

Donnerstag, 08. März 2007, 8 Kommentare

geschrieben von

Landseer
Frank Schummertz
Dabei seit: 2003
Benutzerprofil
PM senden

Diesen Artikel...
per E-Mail versenden
drucken
bookmarken

CMS Sicherheit : Dieser Hinweis sollte unbedingt befolgt werden: Zur Zeit werden automatisiert PostNuke-Seiten über Postguestbook angegriffen.

Laut heise.de suchen die Angreifer per Google verwundbare Seiten und können durch sog. remote-file-inclusion ggfs. eine eigene Shell aufsetzen und so einen weitreichenden Zugriff auf den Server erlangen. Eine Nachinstallation von weiterem Schadcode bzw. auch ein 'Defacement' der Seite ist nicht ausgeschlossen.

Wir empfehlen, PostGuestbook sofort zu entfernen bzw. durch pnBook (mit Importfunktion für PostGuestbook) zu ersetzen, da mangels Maintainer mit einem Fix nicht zu rechnen ist.

Quelle: http://www.heis...eldung/86433

Kommentare

Nur angemeldete Benutzer dürfen Kommentare verfassen.

Zur Registrierung/Anmeldung

Auch beachtenswert:

Unter postnuke:sicherheit sind diverse Punkte zusammengestellt, die helfen die allgemeine Sicherheit einer PostNuke-Installation zu optimieren.

larsneo am 08.03.2007 um 20:04 Uhr

kann ich irgendwie feststellen, ob auf meinem Server eine solche Shell installiert wurde?
Seit heute kommen nämlich auch wieder Spam-Einträge ins Gästebuch - bisher hatte ich lange Zeit Ruhe.
Das Modul hab' ich in der Zwischenzeit durch pnBook ersetzt.

kenobi am 08.03.2007 um 21:59 Uhr

evtl. Abhilfe

Der Angriff erfolgt anscheinend uber die dateien postguestbook/styles/internal/header.php und header_safe.php
ob es eine weitere Ursache gibt, ist mir bisher nicht bekannt von daher keine garantie ob der angriff nur über diese Dateien erfolgt.
Wer als Style die shup - Varianten wählt dürfte vermutlich keine Probleme bekommen.
Im Style-Verzeichnis sollten die internals auf jeden fall gelöscht werden.

ashnod am 09.03.2007 um 18:31 Uhr

register_globals

ursache für den angriff ist im aktuellen fall wohl ein unsicheres include-statement ala
Code

include "$tpl_pgb_moddir/styles/$tpl_style/error.php";
das sich in diversen styles findet.
um die schwachstelle (z.B. mit einer remote-code-injection) auszunutzen muss register_globals aktiv sein (dazu auch die empfehlungen unter postnuke:sicherheit beachten)

larsneo am 09.03.2007 um 22:39 Uhr

register_globals

Soll das heißen, man könnte 'postguestbook' wieder einspielen, wenn die einstellung auf off geändert worden ist ?

detlef_mue am 10.03.2007 um 13:20 Uhr

Man weiß es nicht.

kaffeeringe.de am 10.03.2007 um 13:36 Uhr

fahrlässige administratoren...

Zitat
Soll das heißen, man könnte 'postguestbook' wieder einspielen, wenn die einstellung auf off geändert worden ist ?
register_globals=on ist immer eine ganz schlechte idee - und administratoren die in der heutigen zeit noch diese konfiguration nutzen, handeln IMHO grob fahrlässig.
aber auch wenn register_globals=off (und optimalerweise auch allow_url_fopen=off) das risiko eines angriffs deutlich reduzieren - module die nicht mehr aktiv gepflegt werden (und auch den postnuke coding standard nicht genügen) sollten nicht eingesetzt werden - zumal es mit pnBook ja eine alternative (inklusive import) gibt.

larsneo am 10.03.2007 um 17:40 Uhr

Klare Ansage ...

OK, das ist jetzt eine klare Ansage.
Pnguestbook wird nur mal irgendwann ganz kurz reinstalliert um den Import nach pnBook zu machen - und kommt dann endgültig in die mottenkiste ..

detlef_mue am 10.03.2007 um 18:30 Uhr