Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Kritik und Verbesserungen » script total unsicher
| Geschlossen | ||
-
Fr. 26.01.2007
17:16 Uhr
#61
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
rein theoretisch könnte man sich als designer ausgeben und schädlichen code ausführen indem man ihn ins template einbaut also auch darauf achten
-
Fr. 26.01.2007
17:18 Uhr
#62
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Design sind aber php frei, aber bei Modulen wäre es natülich möglich.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Fr. 26.01.2007
17:28 Uhr
#63
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Korrekt und darum dauert eine Freischaltung seit neustem länger da jedes modul erstmal durchsucht wird nach solchen sicherheits lücken ! -
Di. 30.01.2007
20:22 Uhr
#64
- Registriert seit
- 02.10.2006
- Beiträge
- 1.250
- Beitragswertungen
bin ich froh das ilch.de net gehackt wurde! OoPion hat sich hier verewigt -
Di. 30.01.2007
21:01 Uhr
#65
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Ilch.de basiert zwar auf nem keinen teil auf dem 1.1 aber es ist dennoch anderest,...:) -
Di. 30.01.2007
22:59 Uhr
#66
- Registriert seit
- 24.08.2004
- Beiträge
- 10.192
- Beitragswertungen
Dank des "bug" und der Anleitung hier darf ich jetzt die Webseite inklusive Vserver meines Exclans neu machen.
Keine Ahnung wie der Server in mitleiden schafft gezoge wurde, aber er dreht ohne Inhalt immer im roten Bereich.
Volle Auslastung der TCP und nonTCP Verbindungen so wie des Speichers
Nochmal die Bitte an alle die Sicherheitslücken entdecken.
Schreibt keine Anleitungen oder Codes hier ins Forum. Schreibt ne Mail an einen vom Team oder direkt an Manuel.
EDIT:
Danke an denjenigen der Seite und Server geschrottet hat.
Zuletzt modifiziert von Panicsheep am 30.01.2007 - 23:00:29Omnia bona erunt
-
Mi. 31.01.2007
07:28 Uhr
#67
- Registriert seit
- 16.09.2006
- Beiträge
- 763
- Beitragswertungen
Zitat geschrieben von Panicsheep
Das schon ein Hammer! -
Mi. 31.01.2007
10:24 Uhr
#68
- Registriert seit
- 01.11.2005
- Beiträge
- 37
- Beitragswertungen
Das muss ich leider bestätigen,bei mir das gleiche in grün.Kurz nachdem die anleitung draussen war,schon war meine seite tot !... -
Mi. 31.01.2007
10:50 Uhr
#69
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Da hab ich ja nochmal Glück gehabt, ok ich hatte vorher schon ein schwachen Schutz, der zumindest gegen dieses Script geholfen hätte.
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mi. 31.01.2007
11:45 Uhr
#70
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
Ich hab vorher nur den Zusatz if hasright >=3 bei der Upload-Bedingung mit drinne gehabt... Anmeldungen von 123456 und 123test usw gabs reichlich^^
Aber offensichtlich hat das erstmal gereicht
Bis zum trialstatus wollten die wohl nicht warten...
Gruss Breiti -
Mi. 31.01.2007
16:30 Uhr
#71
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
1. wüsste ich nicht warum das schlimm sein sollte das ich den code poste. ich habe ilchscript nie benutzt und der fehler ist mir schon nach 5 minuten aufgefallen da mein clan dieses script benutzte nun haben wir auf ein sicheres cms gewechselt mit mehr funktionen etc und alles is bestens
2. selbst schuld wer kein backup macht backups sind PFLICHT
3. cms IST NICHT SICHER
4. warum glauben die möchstegern admins immer das cms sicher sei. cms is nicht einfach hochladen , installieren, fertig ! jeden tag nach updates ausschau halten.
5. wenn eine seite "gehackt" wurde dann ist es nur ein zeichen für mich und alle anderen das der admin unfähig ist ein admin zu sein und sein cms auf den neuesten stand zu halten
Zuletzt modifiziert von white-hat am 31.01.2007 - 16:34:15 -
Mi. 31.01.2007
16:30 Uhr
#72
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Was mich mehr interessiert wenn ich meine DB Connecting variablen ändere sollte man ja die daten nicht mehr rausfinden können! Unabhänig davon ob ich php dateien sperre oder nicht,... -
Mi. 31.01.2007
16:31 Uhr
#73
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
kann es sein das ilch mit xploits nur übersäht ist? -
Mi. 31.01.2007
16:41 Uhr
#74
- Registriert seit
- 03.05.2006
- Beiträge
- 31
- Beitragswertungen
Zitat geschrieben von SLJ
Sehe ich auch so. Ebenso wenn die Datei in einem anderen Verzeichnis liegt und vielleicht noch anders heisst. -
Mi. 31.01.2007
17:13 Uhr
#75
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
dann müsstet ihr das aber alleine tun und nicht selbst als ilchscript zum, download anbieten da sonst ja jeder weiß wo die config.php liegt das is aber unnotig man muss die confg.php nicht einfügen die startseite müsste auch aussreichen da sie ja dort auch per inlcude eingefügt wird. -
Mi. 31.01.2007
17:31 Uhr
#76
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Bei jedem Script muss das Passwort usw. gespeichert werden, wenn es auf die Datenbank zugreifen will, also das ist bestimmt nicht die Schwachstelle, nur blöd wenn man die Daten dann auslesen kann, was nur mit einer Schwachstelle beim Upload zu tun hatte, wenn es noch weitere gibt, dann kannst du sie ja gerne nennen, aber am Umstand der config.php die Sicherheit fest zu machen ist Schwachsinn.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mi. 31.01.2007
17:35 Uhr
#77
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
naja bei mir ist alles gut gegangen ...
liegt wohl auch daran das wir allen < trail uploads verboten bzw sie ganz daktiviert haben. Außerdem mach ich jeden tag BACK up
Nein Ilch hat nicht viele exploits im gegen satz zu webspell sogar so wenige das auf einschlägigen seiten fieberhaft danach gesucht wird
Merke: ES GIBT KEIN SICHERES SYSTEM
wenn man bedenkt das man ein Linus / Windows pass innerhalb von 2 hackt naja sollte wohl alles sagenMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
Mi. 31.01.2007
18:02 Uhr
#78
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Aber wenn ich z.b. die var dbpass in passw änder kannst du die nicht einfach includen und ein echo $dbpass machen da du ja nicht weiß wie die var heißt ? Oder kann man sich irgend wie die connecting zeile auslesen lassen,... -
Mi. 31.01.2007
18:28 Uhr
#79
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
ich denke mal, das ilch ist zurzeit sicherer also ein ftp oder apache server.... denkt dran die kann man mit gewissen knowhow auch hacken.
aber jemand der was von php sicherheit versteht könnte doch mal das ilch script korrektur lesen, oder??Discite moniti!
www.pixelbash.de -
Mi. 31.01.2007
18:52 Uhr
#80
- Registriert seit
- 21.01.2006
- Beiträge
- 2.659
- Beitragswertungen
denke nicht das einer das ohne gegenleistung so mal macht..
außer wenn es solche leute in der ilch community gibt vielleicht (denke aber mal nicht)....Zitat geschrieben von loW -
Mi. 31.01.2007
19:30 Uhr
#81
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
die config ist nicht die einzige schwachstelle nahezu jedes cms hat eine config die einfach ausgelesen werden kann. selbst module sind potenzielle schwachstellen ...wer sagt denn das der coder eines modules kein backdoor eingebaut hat??? also aufpassen was ihr da hochladet...gibt es für das ilchscript ne art security system wie bei "php fusion"?
Zuletzt modifiziert von white-hat am 31.01.2007 - 19:30:50 -
Mi. 31.01.2007
19:37 Uhr
#82
- Registriert seit
- 11.04.2005
- Beiträge
- 1.194
- Beitragswertungen
Was ist dasn das "security system"?Probleme mit dem installieren?
externer Link -
Mi. 31.01.2007
20:27 Uhr
#83
- Registriert seit
- 24.08.2004
- Beiträge
- 10.192
- Beitragswertungen
Zitat geschrieben von white-hat
Zu 1. Du gibt auch jemanden ne Waffe in die Hand, und erwartest nicht das er früher oder später damit schiessen wird.
Oder glaubst du wenn man dazu sagt "Du du, ja nicht damit schiessen!" machts keiner?
Zu 2. Gottseidank hab ich ein Backup vom Samstag
Zu 3.
Hab ich auch nie behauptet
Zu 4. und 5.
Zählst mich als zu den möchte gerns, soso.
Dann sag ich dir mal ganz offen das ich die zu den überheblichen zähle.
Glaubst du ich sitze 24/7 vor der Kiste und warte auf ein neues Update?
Wenn du das in deinem Kellerloch machst is das dein Ding, ich geh arbeiten, bin allein erziehend und hab auch noch anderen Interessen.Omnia bona erunt
-
Mi. 31.01.2007
20:43 Uhr
#84
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
hmmm - die Backdoor war schon vorher für die meisten bekannten CMS bekannt ._. Die meisten wurden daraufhin gefixed - Ilch stand da wohl einfach noch nicht auf der Liste.
Die PHP die Du nutzt geistert seit mehr als einem Jahr im Netz rum ._. Für die unterschiedlichsten CMS Systeme! Da braucht man keine HaXX0r SkillZ sondern nur trial&error in frei verfügbaren Scripten...
hmmm - was war denn bei Mousesports - Datenbankfehler? Wie Du schon schreibst, es gibt kein sicheres System.
Der Admin kann ggfs. nichts dafür wenn er gehacked wird. Ist wie beim Autoklau, wer den Wagen offenlässt verliert, trotzdem werden täglich Autos mit guter Alarmanlage geklemmt^^
Gruss -
Mi. 31.01.2007
22:30 Uhr
#85
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
Also ich garantire, das zumindest bei mir keine wissend eingebauten backdors oder exploits drin sid xDMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
Mi. 31.01.2007
22:43 Uhr
#86
- Registriert seit
- 11.04.2005
- Beiträge
- 1.194
- Beitragswertungen
hoffe habe bis jetzt noch keinen drin... hm.. im adminbereich ist sicher egal
Probleme mit dem installieren?
externer Link -
Mi. 31.01.2007
23:52 Uhr
#87
- Registriert seit
- 27.12.2005
- Beiträge
- 2.354
- Beitragswertungen
Hahaha^^
Finds irgendwie lustig -.-'
Meine HP wurde "gehackt"^^
1. Interessierts mich nich^^
2. Trottel xD Ist eh alles wieder beim alten.
Naja waYne
Soll sich der "hacker" mal freuen
-
Do. 01.02.2007
00:15 Uhr
#88
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
hm, die c99.php - die ist nun vermutlich so und anders sogar länger als 1 Jahr im Umlauf XD Haxx00000R ^^
Mein Gott, früher waren die Foren zumindest ein wenig wählerisch, wen sie reingelassen haben um so zeugs zu spreaden...
Gruss...
(Die sollteste aba rausnehmen - dat is kagge so, Du weisst...=)
Zuletzt modifiziert von thbreidenbach am 01.02.2007 - 00:50:15 -
Do. 01.02.2007
01:01 Uhr
#89
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
@Panicsheep
1. Tja ich bin 17 mache mein abitur und habe mit dem ilchscript vllt 30 minuten verbracht um einige lücken zu finden.
2. ich hab nie behauptet das du ein möchtegern admin bist
3. nein ich sitz nich jeden tach da und schaue nach updates da ich weiß das das cms was ich benutze sicherer ist und ein security system drin hat also kann ich mich beruhigen
4. Das mit der Waffe....also da mein script lediglich die MySQL daten ausliest heißt es noch lange nicht das mein script eine page hackt oder schrottet!
5. hab ich schon gesagt wer kein backup macht seiner mysql daten is selbst schuld so einfach ist es halt nicht eine page zu administrieren
6. ich werde keine sicherheitslücken mehr hier posten das feedback was ich hier bekomme ist mir zu proVokativ. Ich werde schweigen und meinen eigenen Spass haben ^^ -
Do. 01.02.2007
09:00 Uhr
#90
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
Abgesehen davon, dass der "Spass" strafbar ist... Interessanterweise fällt die Einbringung von Programmen, die den Zweck der Datenveränderung dienen schon unter den Hausfriedensbruch. (Nicht das Ausführen - anderer Tatbestand - und nein, die Tatsache dass eine Uploadfunktion existiert verringert die Schuld nicht, solange der Zweck des Tools z.B. der Entschlüsselung von geschützten Daten dient!!) In mehreren Fällen hat sowas zu unreinen Westen verholfen^^
Und Proxies oder ähnliches können heute nicht mehr als anonym eingestuft werden. Bagatellfälle gibt es da nicht, wenn eine Strafanzeige gestellt wird - dann wird dieser nachgegangen - und die IP des uploadenden zu triggern - naja kein Prob... wenn man schnell genug nachforscht kann das schon nach einem Tag erfolgreich sein - trotz proxy und co. (Damit wurden sogar Studenten im Uninetzwerk schon mit böööösen Briefen überhäuft...)
Gruss
| Geschlossen | ||
 |
Zurück zu Kritik und Verbesserungen | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten