+ Antworten
Seite 1 von 4 1 2 3 4 LetzteLetzte
Ergebnis 1 bis 10 von 32

Thema: Request to reset password

  1. 10.02.2011 10:26 #1
    Sandor1990
    Sandor1990 ist offline
    Neu an Board
    Registriert seit
    21.04.2009
    Beiträge
    41
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Ausrufezeichen Request to reset password

    Moin,

    habe gestern Abend eine Mail erhalten, die mich etwas stutzig gemacht hat:

    Hello,

    a request has been made to reset your [Homepage Name] account password. To reset your password, you will need to submit this token in order to verify that the request was legitimate.

    The token is [TOKEN].

    Click on the URL below to enter the token and proceed with resetting your password.

    [URL]

    Thank you.

    Habe natürlich keinen Reset des Passworts angefordert.
    Benutze momentan noch Joomla Version 1.5.22.
    Ist der Passwort Reset noch eine verwundbare Stelle im System (habe in anderen Foren darüber gelesen..)?

    Komisch war auch, dass das Adminpasswort geändert war.

    Kann mich bitte jmd aufklären?

    Gruß
    Sand0r
    Zitieren Zitieren
  2. 10.02.2011 12:35 #2
    Skodi
    Skodi ist offline
    War schon öfter hier
    Registriert seit
    30.01.2006
    Beiträge
    233
    Bedankte sich
    30
    Erhielt 38 Danksagungen
    in 30 Beiträgen

    Standard

    Ist der Passwort Reset noch eine verwundbare Stelle im System (habe in anderen Foren darüber gelesen..)?
    Das sollte eigentlich seit Joomla 1.5.6 erledigt sein....

    Hast du mal die Serverlogs angeschaut?... die sollten Aufschluss geben!
    Zitieren Zitieren
  3. 10.02.2011 12:44 #3
    cylance
    cylance ist offline
    Wohnt hier Avatar von cylance
    Registriert seit
    10.11.2010
    Beiträge
    2.313
    Bedankte sich
    189
    Erhielt 592 Danksagungen
    in 562 Beiträgen

    Standard

    Komisch war auch, dass das Adminpasswort geändert war.
    Das von Joomla oder Deiner Website
    Meine Kristallkugel hat einen Sprung und die Tarotkarten hat's vom Tisch geweht. Detailierte Informationen sind hilfreich.
    We offer three kinds of service: good - chea p - fast. u can pick 2 of them
    FAQ vorn im Forum gelesen?
    Zitieren Zitieren
  4. 10.02.2011 12:59 #4
    Sandor1990
    Sandor1990 ist offline
    Neu an Board
    Registriert seit
    21.04.2009
    Beiträge
    41
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Danke für den Denkanstoß, habe nochmal genauer geschaut.
    Gestern abend hat ein Indonesischer Service Provider (nehme an das wurde umgeleitet) einen GET gesendet für die Seite "Passwort vergessen?" für den Admin.
    Wie verhindere ich, dass das Adminpasswort zurückgesetzt werden kann, d.h wo muss ich im php code eingreifen?

    denke an etwas wie if(! 'admin')...

    jemand eine idee ?


    Benutze momentan noch Joomla Version 1.5.22
    Version 1.5.22 < Version 1.5.6 ?

    EDIT: jetzt is auch klar, dass das Backendpasswort nach dem GET geändert war ...
    EDIT: gleiche IP hat daraufhin auch ne SQL injection probiert. man findet raus wer admin ist und noch ein paar kundendaten werden auch preisgegeben...

    need HELP!
    Geändert von Sandor1990 (10.02.2011 um 13:25 Uhr)
    Zitieren Zitieren
  5. 10.02.2011 13:30 #5
    Skodi
    Skodi ist offline
    War schon öfter hier
    Registriert seit
    30.01.2006
    Beiträge
    233
    Bedankte sich
    30
    Erhielt 38 Danksagungen
    in 30 Beiträgen

    Standard

    Hallo,
    zuerstmal muss man die Gefahr bannen, das machst du mit:

    einer vorgeschalteten .htaccess Datei
    Inhalt der .htaccess:
    Order deny,allow
    Deny from all

    Dann ist die Seite erstmal von aussen nicht mehr erreichbar.

    Dann muss man die Lücke finden und schließen, erst danach kann man ans weitermachen denken. Wenn du die Lücke nicht findest und nicht schließt, wird es dir erneut passieren....

    Dazu die Log-Dateien prüfen - und ggf. hier diese GET Anfrage mal einstellen und mal einen Virenscanner über deinen Rechner laufen lassen.

    Ich denke es wird eine dieser 4 Möglichkeiten sein:
    1. Du hast nicht richtig geupdated... und da ist vllt. noch eine verwundbare Datei einer Vorversion im Spiel.
    2. Du hast gar nicht die 1.5.22 am Laufen.
    3. Es handelt sich um eine bisher nicht bekannte Lücke in Joomla 1.5.22
    4. Jemand hat Zugriff auf deine E-Mails und hat die Anfrage ganz einfach bestätigt und dann dass Passwort geändert.

    Joomla 1.5.22 ist die aktuellste Joomla 1.5 Version. Und da ist eigentlich kene Schwachstelle in diesem Bereich bekannt!
    Zitieren Zitieren
  6. 10.02.2011 13:36 #6
    Joomla-Hilfe
    Joomla-Hilfe ist offline
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    3.668
    Bedankte sich
    78
    Erhielt 1.094 Danksagungen
    in 874 Beiträgen

    Standard

    Zitat Zitat von Skodi Beitrag anzeigen
    Joomla 1.5.22 ist die aktuellste Joomla 1.5 Version. Und da ist eigentlich kene Schwachstelle in diesem Bereich bekannt!
    Aber bis 1.5.6 hat genau dieses GET funktioniert. Das war irgendwann vor rund 2 Jahren. Ein Wunder, daß es erst jetzt einer versucht hat.
    Danke?

    Keine Macht den Facebutts!
    "Dinner for one ist jeden Tag" oder "Und täglich grüßt das Murmeltier"
    Zitieren Zitieren
  7. 10.02.2011 13:40 #7
    Skodi
    Skodi ist offline
    War schon öfter hier
    Registriert seit
    30.01.2006
    Beiträge
    233
    Bedankte sich
    30
    Erhielt 38 Danksagungen
    in 30 Beiträgen

    Standard

    Ja, die Fälle haben wir hier ja doch häufiger mal... das über diese Passwort-Requests gehacked wird. Und es liegt eigentlich immer an veralteten Joomla-Versionen.
    Was mich hier etwas stuzig macht ist, dass Sandor schreibt er würde die 1.5.22 einsetzen....

    P.S.
    Hier nochmal ne Info zu der schwachstelle der < 1.5.5 Versionen.
    http://cyberinsecure.com/critical-pa...ity-in-joomla/
    Zitieren Zitieren
  8. 10.02.2011 13:42 #8
    Sandor1990
    Sandor1990 ist offline
    Neu an Board
    Registriert seit
    21.04.2009
    Beiträge
    41
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Also die Injection sah so aus, dass im Endeffekt "nur" Benutzername, Zugriffsrecht und E-Mail augegeben werden.
    Wie kann ich mich davor schützen?
    Passiert ist nichts sichtbares.

    Das Adminpasswort wurde nur zurückgesetzt, weil jmd die mail des admins wusste (nicht schwer rauszufinden) und dann die "Passwort vergessen?" seite von joomla angegefordert hat (daraufhin wird ja das passwort auf ein kryptisches zurückgesetzt, was in diesem falle auch kein problem war, da ich mehrere super admin zugänge besitze).

    homepage einfach stillegen is nich so einfach...


    sorry nochmal fürs verständnis: 1.5.22 < 1.5.6 oder nicht???


    EIDT: das beschrieben Workaround auf der Seite http://cyberinsecure.com/critical-pa...ity-in-joomla/ war bereits vorhanden in meiner /components/com_user/models/reset.php
    Geändert von Sandor1990 (10.02.2011 um 13:46 Uhr)
    Zitieren Zitieren
  9. 10.02.2011 14:20 #9
    Skodi
    Skodi ist offline
    War schon öfter hier
    Registriert seit
    30.01.2006
    Beiträge
    233
    Bedankte sich
    30
    Erhielt 38 Danksagungen
    in 30 Beiträgen

    Standard

    Kannst du mal die genaue URL posten, die aufgerufen wurde?

    Das Adminpasswort wurde nur zurückgesetzt, weil jmd die mail des admins wusste (nicht schwer rauszufinden) und dann die "Passwort vergessen?" seite von joomla angegefordert hat (daraufhin wird ja das passwort auf ein kryptisches zurückgesetzt, was in diesem falle auch kein problem war, da ich mehrere super admin zugänge besitze).
    Das Passwort wird soweit ich weiß, nicht auf ein "kryptisches" zurückgesetzt.
    Unter Angabe des Tokens kannst du dein Passwort ändern.
    Wenn du das nicht gemacht hast, hat es jemand anders gemacht.

    Passiert ist nichts sichtbares.
    Für dich nicht sichtbar.... Passiert kann da ne ganze Mege sein.
    Wenn jemand aufs Backend als Superadmin Zugriff hat - stehen ihm viele Türen offen.

    Wie kann ich mich davor schützen?
    Da hätte es mehrere Möglichkeiten gegeben, sowas zu verhindern.

    Neben vielen weiteren Tipps kannst du das hier nachlesen:
    http://www.joomlaportal.de/sicherhei...leitfaden.html
    Geändert von Skodi (10.02.2011 um 14:24 Uhr)
    Zitieren Zitieren
  10. 10.02.2011 14:49 #10
    Sandor1990
    Sandor1990 ist offline
    Neu an Board
    Registriert seit
    21.04.2009
    Beiträge
    41
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Also, zunächst einmal wurde ein GET gesendet:
    index.php?option=com_user&view=reset
    => Passwort zurücksetzen

    Daraufhin ein POST:
    /en/component/user/?task=requestreset
    => beim Post stehen die Daten ja nicht in der URL, deshalb weiß ich auch nicht was gesendet wurde...

    Ist es möglich, dass das Passwort hier schon zurückgesetzt wurde? Falls ja, hatte der Angreifer das Passwort dann und damit Zugriff aufs Backend? Sofern im Post das richtige Token steht funktioniert das doch oder?
    Bzw. hat das was mit "Session-Riding" zu tun?

    Die eigenltiche Injection kam dann über die Komponente CK_Forms.
    /?option=com_ckforms&controller=ckdata&view=ckforms data&layout=detail&task=detail&fid=-1+union+select+0,1,2,group_concat(username,0x3a,em ail,0x3a,activation,0x3a,usertype),4,5,6,7,8,9,10, 11,12,13,14,15,16,17,18+from+jos_users--
    Wie gesagt dabei wurde nach Benutzername:E-MAIL:Zugriffsrechten gefragt.
    Geändert von Sandor1990 (10.02.2011 um 15:12 Uhr)
    Zitieren Zitieren
+ Antworten
Seite 1 von 4 1 2 3 4 LetzteLetzte
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln