Hallo,
ich habe das heute bei einem Kumpel entfernt. Der Angreifer geht gezielt auf das
/cache Verzeichnis des 777 Scripts mit einer Injection. Betrifft die aktuelle 5.X
und führt dort eingeschleusten Code per http Zugriff aus.
Der cache ist per Default ausgeschalten. Wer also in der config.inc.php den
Wert $CONFIG['CACHE'] = 0; hat sollte wenn vorhanden das Verzeichnis
/cache löschen bis 777 das behoben hat.
Leider wird in der Anleitung
"Änderung der Zugriffsrechte der Verzeichnisse "/temp","/cache" und "/campics" auf 777 (chmod)"
empfohlen was natürlich nicht gerade toll ist"
Vermutlich kann man auch Code in diese Verzeichnisse einschleusen. Wobei man
/cache und /campics in der config.inc.php ausschalten kann und die Verzeichnisse
dann löschen sollte. /temp benötigt man aber vermutlich!
Wenn man einen Root Server hat sollte man http://www.modsecurity.org/ installieren
was Zugriffe wie ?[root ... ] gänzlich unterbindet. Man kann aber auch jemanden beauftragen
im 777 Script diese Aufrufe zu unterbinden. Sicher gibt es auch noch andere Security
Software die Injections per http verhindert ... sollte aber eigentlich vom Script abgefangen
werden!
Was ich traurig finde ist das 777 um bei sich Server Performance zu sparen seit der Version
(ich glaube 3) in ihrer Anleitung schreiben man solle /cache und /campis nutzen (es wurden
damals sogar Webmaster angeschrieben und zum Update gedrängt). Wenn man die Webmaster
schon drängt Verzeichnisse mit dem Recht 777 zu erzeugen sollte man das Script schon einmal
von einer Security Firma checken lassen.
Gruß
Micha
ich habe das heute bei einem Kumpel entfernt. Der Angreifer geht gezielt auf das
/cache Verzeichnis des 777 Scripts mit einer Injection. Betrifft die aktuelle 5.X
und führt dort eingeschleusten Code per http Zugriff aus.
Der cache ist per Default ausgeschalten. Wer also in der config.inc.php den
Wert $CONFIG['CACHE'] = 0; hat sollte wenn vorhanden das Verzeichnis
/cache löschen bis 777 das behoben hat.
Leider wird in der Anleitung
"Änderung der Zugriffsrechte der Verzeichnisse "/temp","/cache" und "/campics" auf 777 (chmod)"
empfohlen was natürlich nicht gerade toll ist"
Vermutlich kann man auch Code in diese Verzeichnisse einschleusen. Wobei man
/cache und /campics in der config.inc.php ausschalten kann und die Verzeichnisse
dann löschen sollte. /temp benötigt man aber vermutlich!
Wenn man einen Root Server hat sollte man http://www.modsecurity.org/ installieren
was Zugriffe wie ?[root ... ] gänzlich unterbindet. Man kann aber auch jemanden beauftragen
im 777 Script diese Aufrufe zu unterbinden. Sicher gibt es auch noch andere Security
Software die Injections per http verhindert ... sollte aber eigentlich vom Script abgefangen
werden!
Was ich traurig finde ist das 777 um bei sich Server Performance zu sparen seit der Version
(ich glaube 3) in ihrer Anleitung schreiben man solle /cache und /campis nutzen (es wurden
damals sogar Webmaster angeschrieben und zum Update gedrängt). Wenn man die Webmaster
schon drängt Verzeichnisse mit dem Recht 777 zu erzeugen sollte man das Script schon einmal
von einer Security Firma checken lassen.
Gruß
Micha