Sicherheit - letztes Update 21:32
Es wurden heute mehrere Seiten mit speziell für OPN geschriebenen Hack-Tools angegriffen. Wir wurden darüber heute morgen 10.30 informiert. Nach Analyse und ersten Reperaturen ergeben sich diese Erkenntnisse:
- Durch verschiedene Schwachstellen die auch von den PHP-Einstellungen abhängen, konnte so eine Sicherheitslücke ausgenutzt werden.
- Es ist nicht automatisch jede Installation betroffen.
Es handelt sich hierbei um die PHP.ini Parameter:
- register_globals
- allow_url_fopen
Als erste Massnahme empfehlen wir die URL-Codierung einzuschalten.
Update: 30.04.2006 15:00
Sowohl im Trunk als auch im Branch befindet sich ein Security fix der master.php
Bisher ist noch kein Bericht eingegangen das eine Datenbank betroffen ist. Dies war ein gezielter Defacement Angriff. Jedoch wurden Dateien im Verzeichnis platziert die weitere Angriffe möglich machen, deshalb ist ein drastisches säubern der betroffenen Systeme unumgänglich!
Vorgehensweise bei betroffenen Systemen:
Weg 1 - aktuelles Backup ist vorhanden
- Die kompletten OPN-Files vom Webserver löschen!, ein überschreiben der Dateien ist nicht möglich, da die FTP-rechte nicht ausreichen. Der Hack verwendet höhere Rechte. So das die Dateien nur gelöscht werden können.
- backup zurück spielen
Weg 2 - kein Backup vorhanden
- mainfile.php sichern
- Cache Verzeichnis sichern
- Die kompletten OPN-Files vom Webserver löschen!, ein überschreiben der Dateien ist nicht möglich, da die FTP-rechte nicht ausreichen. Der Hack verwendet höhere Rechte. So das die Dateien nur gelöscht werden können.
- Die aktuelle OPN-Version inklusive dem Sicherheitspatch aufspielen.
- Die gesicherte mainfile.php Inhalt auf Auffälligkeiten prüfen und aufspielen
- Das gesicherte Cache Verzeichnis nach auffälligen Dateien durchsehen (Verzeichnis - lokal nach Dateien mit dem Datum des Angriffs durchsuchen. Bei einem Fund sind die Dateien zu löschen!) und dann zurück spielen.
- Die Verzeichnisrechte nach der Anleitung in der Dokumentation anpassen.
Unsere dringende Empfehlung!
- Backup - in regelmäßigen Abständen ist ein muss in der heutigen Zeit.
- Wenn möglich die PHP.ini Parameter register_globals auf off einstellen (Alternativ gezielt einen solchen Hoster suchen).
Security Fix - Download
Hier noch für alle die Subversion nicht nutzen wollen/können, hier bekommt Ihr die angepasste Datei: master.php als gepackte ZIP-Datei
Security fix - Download
Update: 30.04.2006 18:19
In den nächsten Stunden wird dann Tine so nett sein die 2.3.5 zu veröffentlichen.
Diese Version wird noch andere wichtige Updates enthalten. Wir raten dringend dieses Update auf Version 2.3.5 schnellstens einzuspielen.
Wichtig!
Administration - Einstellungen - Sicherheit
Sollen die Parameter bei den URLs codiert werden? Ja/Nein
Die Codierung bietet ersten Schutz vor der automatisierten Suche nach OPN - Installationen, deshalb solltet Ihr diese Funktion nutzen
OPN Team
Notiz Security fix - Download
Geschrieben von stefan am 30.04.2006 11:32:36 (18099 * gelesen)
Kommentare
- Re: Sicherheit - letztes Update 21:32
von spinne am 01.05.2006 09:17:36 http://www.mein-spinnennetz.chDas Security-Fix steht absoft zum Download zur Verfügung, die Versionen findet ihr im Downloadloadbereich -
es werden zusätzliche PHP Dateien angelegt die gelöscht werden müssen:
Thumbs.php
index_r.php
c.php
diese Dateien beinhalten den Trojaner html 99shell
*** update ***
im chache nach unbekannten Dateien suchen ebensocgi-bin
hier könnte die Datei dc.pl oder ck.cgi vorhanden sein.
Flash -
Danke Stefan,
da zeigt sich wieder wie gut der support funktioniert.
-
Sollte das Portal betroffen sein hier der Hinweis zum korrigieren.
minimal sofort Massnahme
index.php - löschen
master.php - löschen
beide neu hochladen (saubere Version)
dann jedes Verzeichniss / Datei löschen und neu hochladen
mainfile.php ist meistens nicht betroffen läst sich ja kontroliieren sofern nicht betroffen kann die auch bestehen bleiben.
wichtig auch das cache nach dateien zu überprüfen die dort nichts zu suchen haben.
Das ist nur eine Grobe Darstellung bei Problemen oder Fragen ... Fragen -