Angriffe über Serendipity über Extended File Manager

Hier können Probleme und alles andere in Deutscher Sprache gelöst werden.
Post Reply
sehpferd
Regular
Posts: 25
Joined: Tue Nov 21, 2006 5:41 pm
Contact:

Angriffe über Serendipity über Extended File Manager

Post by sehpferd » Mon Mar 11, 2013 11:44 am

Über Serendipity wurden Angriffe von einer meiner Webseiten ausgeführt. Die angreifer sind über folgendes Verzeichnis:

serendipity/htmlarea/plugins/ExtendedFileManager/demo_images/

Eingeschmuggelt wurden verdeckte PHP-scripts, die als jpg und gif getarnt waren.

Ich würde die Details gerne einem Entwickler zugänglich machen, aber nicht in diesem Forum veröffentlichen, das es zu offen eingesehen werden kann.

Dazu ergibt sich die grundsätzliche Frage: Kann das Verzeichnis "Demo Images" grundsätzlich gelöscht werden? Und wozu wird der "Extended File Manager" wirklich benötigt?

Grüße und Danke an das Team im voraus


Sehpferd

User avatar
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Angriffe über Serendipity über Extended File Manager

Post by Timbalu » Mon Mar 11, 2013 12:24 pm

Dies ist eine alt bekannte Tatsache!!!
Bitte lese:
http://blog.s9y.org/archives/224-Import ... eased.html vom December 21. 2010!
und zB als Auswahl diesbezüglicher Themen:
http://board.s9y.org/viewtopic.php?f=10&t=17648
http://board.s9y.org/viewtopic.php?f=3&t=17469
oder für mehr:
http://board.s9y.org/search.php?keyword ... bmit=Suche

- - - - - - - - - - - - - - - -
Um es noch einmal laut zu sagen: Auch Serendipity ist Software! Software ist nie fertig! Auch wenn Serendipity einfach klasse ist, finden sich doch hin und wieder Dinge, die es zu verbessern gibt. Auch Drittsoftware (wie in diesem Fall) ist auch nur Software! Software ist ...!, aber das sagte ich ja schon...
Updates von Software werden - bei guter Software - nicht gemacht, um ab und zu mal eine neue Version herauszubringen, sondern um den aktuellen Stand der Entwicklung zu dokumentieren. Das schließt auch Bugbeseitigungen und wichtige Security Verbesserungen ein. Man solte sich also eh angewöhnen alle benutze Software immer wieder draufhin zu untersuchen, oder einem System wie zb Debian zu vertrauen das standig nachpflegt. Um ein Update kommt auch dies nicht herum.
Dazu ergibt sich die grundsätzliche Frage: Kann das Verzeichnis "Demo Images" grundsätzlich gelöscht werden? Und wozu wird der "Extended File Manager" wirklich benötigt?
Ja, grundsätzlich schon. Aber ein aktuelles Serendipity beseitigt die Gefahr, wenn man sein betroffenes System vorher gereinigt hat. (zb auch in /uploads)
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian

sehpferd
Regular
Posts: 25
Joined: Tue Nov 21, 2006 5:41 pm
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by sehpferd » Mon Mar 11, 2013 12:57 pm

Hi Ian,

Zunächst einmal vielen Dank für den Hinweis. Doch ist es wirklich nötig, so aggressiv auf Updates hinzuweisen?

Ich nutze auf der betreffenden Seite

Serendipity 1.6.2 und PHP 5.2.17

... und genau da passierte es.

Dein Zitat:
Updates von Software werden - bei guter Software - nicht gemacht, um ab und zu mal eine neue Version herauszubringen, sondern um den aktuellen Stand der Entwicklung zu dokumentieren. Das schließt auch Bugbeseitigungen und wichtige Security Verbesserungen ein. Man solte sich also eh angewöhnen alle benutze Software immer wieder draufhin zu untersuchen, oder einem System wie zb Debian zu vertrauen das standig nachpflegt. Um ein Update kommt auch dies nicht herum.
Dennoch vielen Dank ... ich glaube, ich komme mit der Lösung zurecht, das Verzeichnis zu entfernen.

sehpferd

User avatar
yellowled
Regular
Posts: 7092
Joined: Fri Jan 13, 2006 11:46 am
Location: Eutin, Germany
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by yellowled » Mon Mar 11, 2013 1:04 pm

Timbalu wrote:einem System wie zb Debian zu vertrauen das standig nachpflegt
*hust*

http://packages.debian.org/de/squeeze/serendipity – 1.5.3 (Ja, schon klar, das wird vermutlich zumindest auf Sicherheitslücken gepatcht.)

Außerdem hat nicht jeder selbst hostende Nutzer einen root- oder vServer.

YL
amazon Wishlist - Serendipity-Podcast (German only, sorry)

User avatar
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Angriffe über Serendipity über Extended File Manager

Post by Timbalu » Mon Mar 11, 2013 1:26 pm

sehpferd wrote:Zunächst einmal vielen Dank für den Hinweis. Doch ist es wirklich nötig, so aggressiv auf Updates hinzuweisen?
JA! Wenn mit "aggressiv" soetwas wie "dringlich" gemeint ist!
Ansonsten natürlich nein. Ich bin nur ab und zu enttäuscht, dass man Serendipity mit Sachen in Zusammenhang bringt, die schon vor Jahren abgehandelt wurden.... Und dafür müssen die User selbst sorgen, solange wir nicht auch in die Mode verfallen die User zu bevormunden und stille Updates einführen.

Da jetzt Serendipity 1.6.2 benutzt wird, ist das Blog also schon seit vor dem Update auf eine Version größer gleich 1.5.5 verwundet. Und das ist natürlich sehr ärgerlich! Schon allein aus Gründen der Serendipity Werbung.

Bitte lese trotzdem sorgfältig die entsprechenden Seiten dazu, denn es gab unterschiedliche Plätze, auf die hack-Dateien aufgespielt wurden. Solange man sein System also nicht clean hat, nützen auch die schönsten Updates nicht.

@YL
hihihi ich meinte auch gar nicht serendipity als paket.... sondern eher das laufende Patchsystem als Beispiel... für etwas, was man bei selbst aufgespielter Software selber machen muss.
Debian Serendipity ist ein wahrlich blödes und abschreckendes Beispiel, weil es nicht mal die hier besprochenen Sicherheitslücken patcht. Eigentlich müsste denen mal jemand auf die Finger hauen!!! :evil:
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian

User avatar
rowi
Regular
Posts: 77
Joined: Fri Mar 16, 2007 9:10 pm
Location: Flensburg / Germany
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by rowi » Tue Apr 02, 2013 4:43 pm

Timbalu wrote:Ja, grundsätzlich schon. Aber ein aktuelles Serendipity beseitigt die Gefahr, wenn man sein betroffenes System vorher gereinigt hat. (zb auch in /uploads)
Dazu sei angemerkt dass mein 1.7rc3 über Ostern über den EFM (erstmalig) infiziert wurde.

User avatar
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Angriffe über Serendipity über Extended File Manager

Post by Timbalu » Tue Apr 02, 2013 5:00 pm

Ich wüßte nicht wie das gehen sollte.... :shock:
Wenn du soetwas hier postulierst, muss einfach deutlich mehr input her...
http://blog.s9y.org/archives/224-Import ... eased.html

Edit:
Du hast auch noch eindeutig andere Probleme.
http://board.s9y.org/viewtopic.php?f=15 ... erendipity[%27baseURL%27]#p10433877
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian

User avatar
rowi
Regular
Posts: 77
Joined: Fri Mar 16, 2007 9:10 pm
Location: Flensburg / Germany
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by rowi » Tue Apr 02, 2013 8:07 pm

Timbalu wrote:Du hast auch noch eindeutig andere Probleme.
Das für mich grösste Problem ist dass S9y das DB Kennwort mit ausgibt, egal wie ich 'production' und 'debug' setze :-(

User avatar
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Angriffe über Serendipity über Extended File Manager

Post by Timbalu » Tue Apr 02, 2013 8:17 pm

Ja, das ist doof! Eindeutig!
Meine vorige Nachricht aber basierte auf noch einer anderen Fehlermeldung mit dem stristri... Hast du baseUrl daraufhin gesetzt?

Jetzt hast du ja ....
User rowi_serendipity already has more than 'max_user_connections' active connections' in ...
Die Frage ist - wenn ich das jetzt richtig verstanden habe - warum

Code: Select all

$serendipity['production'] = true; 
in der ...local.inc die Fehleranzeige nicht ändert...
Denn, es sollte mit true keine Exception mehr angezeigt werden..., sondern nur noch ein normaler error... hast du das auch richtig gesetzt?
Die 'max_user_connections' Geschichte sollte eigentlich nicht mit Serendipity zusammenhängen - außer dass da ein paar plugins mit eventuell schlecht eingestellten Datenbank Zugriffen dabei sind, aber dann hätten wir hier schon öfter solche Meldungen gehabt... So denke ich, ist es schlicht dein Provider, der dir ein zu geringe Anzahl user_connections gestattet. Rede mit ihm!
http://dev.mysql.com/doc/refman/5.0/en/ ... urces.html
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian

User avatar
rowi
Regular
Posts: 77
Joined: Fri Mar 16, 2007 9:10 pm
Location: Flensburg / Germany
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by rowi » Tue Apr 02, 2013 9:41 pm

Die max_user_connections hing damit zusammen dass der eingeschleuste Code serverseitig Verbindungen nach extern aufgmeacht hat. Das hat das PHP so sehr Verzögert dass die Datenbankverbindungen im Status sleep nicht wieder geschlossen wurden. Ist also ein Folgefehler.

Den BaseURL habe ich gesetzt (es sollte davor stehen dass http:// mit eingegeben werden muss oder besser noch automagisch gesetzt werden wenn es fehlt) und alle Verzeichnisse ausser upload komplett ersetzt. Momentan installiere ich die Plugins neu.

MarioH
Regular
Posts: 234
Joined: Mon Jul 20, 2009 10:53 pm
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by MarioH » Tue Apr 02, 2013 11:14 pm

Ich verstehe das nicht so richtig. Die Systeme, die jetzt angegriffen wurden, waren also schon seit 2010 infiziert und die damals hochgeladenen Files wurden jetzt erst genutzt?
Oder gibt es eine neue Schwachstelle in EFM?

Gruß
Mario

User avatar
rowi
Regular
Posts: 77
Joined: Fri Mar 16, 2007 9:10 pm
Location: Flensburg / Germany
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by rowi » Tue Apr 02, 2013 11:23 pm

Entweder das oder zwischendurch. Das Dateidatum ist durch zwei Kopieraktionen leider nicht mehr aussagekräftig.

User avatar
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Angriffe über Serendipity über Extended File Manager

Post by Timbalu » Wed Apr 03, 2013 9:37 am

rowi wrote:Die max_user_connections hing damit zusammen dass der eingeschleuste Code serverseitig Verbindungen nach extern aufgmeacht hat. Das hat das PHP so sehr Verzögert dass die Datenbankverbindungen im Status sleep nicht wieder geschlossen wurden. Ist also ein Folgefehler.
Die Frage bezüglich production = true hast du nicht vorher noch mal ausprobiert, oder?
rowi wrote:Den BaseURL habe ich gesetzt (es sollte davor stehen dass http:// mit eingegeben werden muss oder besser noch automagisch gesetzt werden wenn es fehlt) und alle Verzeichnisse ausser upload komplett ersetzt. Momentan installiere ich die Plugins neu.
Soweit ich weiß wird dies bei der Installation bereits automatisch gesetzt. Vielleicht gibt es noch hier und da ein paar alte Installationen out there, wo es damit eventuell Probleme geben könnte. Das aber sind irgendwelche Sonderfälle, bei denen sich mir noch nicht erschlossen hat, wie sie überhaupt haben auftreten können...
rowi wrote:Entweder das oder zwischendurch. Das Dateidatum ist durch zwei Kopieraktionen leider nicht mehr aussagekräftig.
Ich fände es gut (vor allem nach deiner postulierten Behauptung) wenn du der Sache noch weiter auf der Spur bleiben könntest.
Bist du eventuell mit dem Blog inzwischen (seit 2010) schon einmal komplett umgezogen, so dass möglicherweise die max_user_connections bzw die Aktivierung des eingeschleusten Codes vorher nicht aufgefallen ist?
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian

theborg
Regular
Posts: 37
Joined: Thu Jan 18, 2007 10:57 am
Contact:

Re: Angriffe über Serendipity über Extended File Manager

Post by theborg » Sun Apr 07, 2013 11:35 am

rowi wrote:
Timbalu wrote:Du hast auch noch eindeutig andere Probleme.
Das für mich grösste Problem ist dass S9y das DB Kennwort mit ausgibt, egal wie ich 'production' und 'debug' setze :-(
Das ist seit 1.7rc3 gefixt.

User avatar
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Angriffe über Serendipity über Extended File Manager

Post by Timbalu » Sun Apr 07, 2013 12:28 pm

theborg wrote:Das ist seit 1.7rc3 gefixt.
Dabei ging es um etwas anderes.... Tatsächlich jedoch wurde bei rowi, unabhängig von der RC Version, aufgrund seines besonderen Fehlers (im production=test Modus) im trace path der Fehlermeldung das DB Passwort angezeigt. Leider ließ sich nicht mehr eruieren, ob das in production = true auch noch so gewesen wäre....
Wie man die PHP Exception so feintunen kann, dass in diesem besonderen Fall (der praktisch äußerst selten vorkommt) die Error-Message verändert wird, weiß ich leider noch nicht. Ich bräuchte dafür auch geeignete Versuche um diesen Fehler zu reproduzieren...

In der RC 4 wird das dann gefixt sein.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian

Post Reply