Page 1 of 1
Angriffe über Serendipity über Extended File Manager
Posted: Mon Mar 11, 2013 11:44 am
by sehpferd
Über Serendipity wurden Angriffe von einer meiner Webseiten ausgeführt. Die angreifer sind über folgendes Verzeichnis:
serendipity/htmlarea/plugins/ExtendedFileManager/demo_images/
Eingeschmuggelt wurden verdeckte PHP-scripts, die als jpg und gif getarnt waren.
Ich würde die Details gerne einem Entwickler zugänglich machen, aber nicht in diesem Forum veröffentlichen, das es zu offen eingesehen werden kann.
Dazu ergibt sich die grundsätzliche Frage: Kann das Verzeichnis "Demo Images" grundsätzlich gelöscht werden? Und wozu wird der "Extended File Manager" wirklich benötigt?
Grüße und Danke an das Team im voraus
Sehpferd
Re: Angriffe über Serendipity über Extended File Manager
Posted: Mon Mar 11, 2013 12:24 pm
by Timbalu
Dies ist eine alt bekannte Tatsache!!!
Bitte lese:
http://blog.s9y.org/archives/224-Import ... eased.html vom December 21. 2010!
und zB als Auswahl diesbezüglicher Themen:
http://board.s9y.org/viewtopic.php?f=10&t=17648
http://board.s9y.org/viewtopic.php?f=3&t=17469
oder für mehr:
http://board.s9y.org/search.php?keyword ... bmit=Suche
- - - - - - - - - - - - - - - -
Um es noch einmal laut zu sagen: Auch Serendipity ist Software! Software ist
nie fertig! Auch wenn Serendipity einfach klasse ist, finden sich doch hin und wieder Dinge, die es zu verbessern gibt. Auch Drittsoftware (wie in diesem Fall) ist auch nur Software! Software ist ...!, aber das sagte ich ja schon...
Updates von Software werden - bei guter Software - nicht gemacht, um ab und zu mal eine neue Version herauszubringen, sondern um den
aktuellen Stand der Entwicklung zu dokumentieren. Das schließt auch Bugbeseitigungen und wichtige Security Verbesserungen ein. Man solte sich also eh angewöhnen alle benutze Software immer wieder draufhin zu untersuchen, oder einem System wie zb Debian zu vertrauen das standig nachpflegt. Um ein Update kommt auch dies nicht herum.
Dazu ergibt sich die grundsätzliche Frage: Kann das Verzeichnis "Demo Images" grundsätzlich gelöscht werden? Und wozu wird der "Extended File Manager" wirklich benötigt?
Ja, grundsätzlich schon. Aber ein aktuelles Serendipity beseitigt die Gefahr, wenn man sein betroffenes System vorher gereinigt hat. (zb auch in /uploads)
Re: Angriffe über Serendipity über Extended File Manager
Posted: Mon Mar 11, 2013 12:57 pm
by sehpferd
Hi Ian,
Zunächst einmal vielen Dank für den Hinweis. Doch ist es wirklich nötig, so aggressiv auf Updates hinzuweisen?
Ich nutze auf der betreffenden Seite
Serendipity 1.6.2 und PHP 5.2.17
... und genau da passierte es.
Dein Zitat:
Updates von Software werden - bei guter Software - nicht gemacht, um ab und zu mal eine neue Version herauszubringen, sondern um den aktuellen Stand der Entwicklung zu dokumentieren. Das schließt auch Bugbeseitigungen und wichtige Security Verbesserungen ein. Man solte sich also eh angewöhnen alle benutze Software immer wieder draufhin zu untersuchen, oder einem System wie zb Debian zu vertrauen das standig nachpflegt. Um ein Update kommt auch dies nicht herum.
Dennoch vielen Dank ... ich glaube, ich komme mit der Lösung zurecht, das Verzeichnis zu entfernen.
sehpferd
Re: Angriffe über Serendipity über Extended File Manager
Posted: Mon Mar 11, 2013 1:04 pm
by yellowled
Timbalu wrote:einem System wie zb Debian zu vertrauen das standig nachpflegt
*hust*
http://packages.debian.org/de/squeeze/serendipity – 1.5.3 (Ja, schon klar, das wird vermutlich zumindest auf Sicherheitslücken gepatcht.)
Außerdem hat nicht jeder selbst hostende Nutzer einen root- oder vServer.
YL
Re: Angriffe über Serendipity über Extended File Manager
Posted: Mon Mar 11, 2013 1:26 pm
by Timbalu
sehpferd wrote:Zunächst einmal vielen Dank für den Hinweis. Doch ist es wirklich nötig, so aggressiv auf Updates hinzuweisen?
JA! Wenn mit "aggressiv" soetwas wie "dringlich" gemeint ist!
Ansonsten natürlich nein. Ich bin nur ab und zu enttäuscht, dass man Serendipity mit Sachen in Zusammenhang bringt, die schon vor Jahren abgehandelt wurden.... Und dafür müssen die User selbst sorgen, solange wir nicht auch in die Mode verfallen die User zu bevormunden und stille Updates einführen.
Da jetzt Serendipity 1.6.2 benutzt wird, ist das Blog also schon seit
vor dem Update auf eine Version größer gleich 1.5.5 verwundet. Und das ist natürlich sehr ärgerlich! Schon allein aus Gründen der Serendipity Werbung.
Bitte lese trotzdem sorgfältig die entsprechenden Seiten dazu, denn es gab unterschiedliche Plätze, auf die hack-Dateien aufgespielt wurden. Solange man sein System also nicht
clean hat, nützen auch die schönsten Updates nicht.
@YL
hihihi ich meinte auch gar nicht serendipity als paket.... sondern eher das laufende Patchsystem als Beispiel... für etwas, was man bei selbst aufgespielter Software selber machen muss.
Debian Serendipity ist ein wahrlich blödes und abschreckendes Beispiel, weil es nicht mal die hier besprochenen Sicherheitslücken patcht. Eigentlich müsste denen mal jemand auf die Finger hauen!!!
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 4:43 pm
by rowi
Timbalu wrote:Ja, grundsätzlich schon. Aber ein aktuelles Serendipity beseitigt die Gefahr, wenn man sein betroffenes System vorher gereinigt hat. (zb auch in /uploads)
Dazu sei angemerkt dass mein 1.7rc3 über Ostern über den EFM (erstmalig) infiziert wurde.
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 5:00 pm
by Timbalu
Ich wüßte nicht wie das gehen sollte....
Wenn du soetwas hier postulierst, muss einfach deutlich mehr input her...
http://blog.s9y.org/archives/224-Import ... eased.html
Edit:
Du hast auch noch eindeutig andere Probleme.
http://board.s9y.org/viewtopic.php?f=15 ... erendipity[%27baseURL%27]#p10433877
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 8:07 pm
by rowi
Timbalu wrote:Du hast auch noch eindeutig andere Probleme.
Das für mich grösste Problem ist dass S9y das DB Kennwort mit ausgibt, egal wie ich 'production' und 'debug' setze
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 8:17 pm
by Timbalu
Ja, das ist doof! Eindeutig!
Meine vorige Nachricht aber basierte auf noch einer anderen Fehlermeldung mit dem stristri... Hast du
baseUrl daraufhin gesetzt?
Jetzt hast du ja ....
User rowi_serendipity already has more than 'max_user_connections' active connections' in ...
Die Frage ist - wenn ich das jetzt richtig verstanden habe - warum
Code: Select all
$serendipity['production'] = true;
in der ...local.inc die Fehleranzeige nicht ändert...
Denn, es sollte mit
true keine Exception mehr angezeigt werden..., sondern nur noch ein normaler error... hast du das auch richtig gesetzt?
Die 'max_user_connections' Geschichte sollte eigentlich nicht mit Serendipity zusammenhängen - außer dass da ein paar plugins mit eventuell schlecht eingestellten Datenbank Zugriffen dabei sind, aber dann hätten wir hier schon öfter solche Meldungen gehabt... So denke ich, ist es schlicht dein Provider, der dir ein zu geringe Anzahl user_connections gestattet. Rede mit ihm!
http://dev.mysql.com/doc/refman/5.0/en/ ... urces.html
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 9:41 pm
by rowi
Die max_user_connections hing damit zusammen dass der eingeschleuste Code serverseitig Verbindungen nach extern aufgmeacht hat. Das hat das PHP so sehr Verzögert dass die Datenbankverbindungen im Status sleep nicht wieder geschlossen wurden. Ist also ein Folgefehler.
Den BaseURL habe ich gesetzt (es sollte davor stehen dass http:// mit eingegeben werden muss oder besser noch automagisch gesetzt werden wenn es fehlt) und alle Verzeichnisse ausser upload komplett ersetzt. Momentan installiere ich die Plugins neu.
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 11:14 pm
by MarioH
Ich verstehe das nicht so richtig. Die Systeme, die jetzt angegriffen wurden, waren also schon seit 2010 infiziert und die damals hochgeladenen Files wurden jetzt erst genutzt?
Oder gibt es eine neue Schwachstelle in EFM?
Gruß
Mario
Re: Angriffe über Serendipity über Extended File Manager
Posted: Tue Apr 02, 2013 11:23 pm
by rowi
Entweder das oder zwischendurch. Das Dateidatum ist durch zwei Kopieraktionen leider nicht mehr aussagekräftig.
Re: Angriffe über Serendipity über Extended File Manager
Posted: Wed Apr 03, 2013 9:37 am
by Timbalu
rowi wrote:Die max_user_connections hing damit zusammen dass der eingeschleuste Code serverseitig Verbindungen nach extern aufgmeacht hat. Das hat das PHP so sehr Verzögert dass die Datenbankverbindungen im Status sleep nicht wieder geschlossen wurden. Ist also ein Folgefehler.
Die Frage bezüglich production = true hast du nicht vorher noch mal ausprobiert, oder?
rowi wrote:Den BaseURL habe ich gesetzt (es sollte davor stehen dass http:// mit eingegeben werden muss oder besser noch automagisch gesetzt werden wenn es fehlt) und alle Verzeichnisse ausser upload komplett ersetzt. Momentan installiere ich die Plugins neu.
Soweit ich weiß wird dies bei der Installation bereits automatisch gesetzt. Vielleicht gibt es noch hier und da ein paar alte Installationen out there, wo es damit eventuell Probleme geben könnte. Das aber sind irgendwelche Sonderfälle, bei denen sich mir noch nicht erschlossen hat, wie sie überhaupt haben auftreten können...
rowi wrote:Entweder das oder zwischendurch. Das Dateidatum ist durch zwei Kopieraktionen leider nicht mehr aussagekräftig.
Ich fände es gut (vor allem nach deiner postulierten Behauptung) wenn du der Sache noch weiter auf der Spur bleiben könntest.
Bist du eventuell mit dem Blog inzwischen (seit 2010) schon einmal komplett umgezogen, so dass möglicherweise die max_user_connections bzw die Aktivierung des eingeschleusten Codes vorher nicht aufgefallen ist?
Re: Angriffe über Serendipity über Extended File Manager
Posted: Sun Apr 07, 2013 11:35 am
by theborg
rowi wrote:Timbalu wrote:Du hast auch noch eindeutig andere Probleme.
Das für mich grösste Problem ist dass S9y das DB Kennwort mit ausgibt, egal wie ich 'production' und 'debug' setze
Das ist seit 1.7rc3 gefixt.
Re: Angriffe über Serendipity über Extended File Manager
Posted: Sun Apr 07, 2013 12:28 pm
by Timbalu
theborg wrote:Das ist seit 1.7rc3 gefixt.
Dabei ging es um etwas anderes.... Tatsächlich jedoch wurde bei rowi, unabhängig von der RC Version, aufgrund seines
besonderen Fehlers (im production=test Modus) im trace path der Fehlermeldung das DB Passwort angezeigt. Leider ließ sich nicht mehr eruieren, ob das in production = true auch noch so gewesen wäre....
Wie man die PHP Exception so feintunen kann, dass in diesem besonderen Fall (der praktisch äußerst selten vorkommt) die Error-Message verändert wird, weiß ich leider noch nicht. Ich bräuchte dafür auch geeignete Versuche um diesen Fehler zu reproduzieren...
In der RC 4 wird das dann gefixt sein.