| SICHERHEITSLÜCKE in Mp3 Player Panel 2.1/2.2 | 
|
|
Senior Mitglied
|
| DeeoNe Geschrieben am 04.07.2012 um 18:22 |
|
| Das nutzen eines E**** sollte wirklich nicht hier geschrieben werden, morgen sind die Supp seiten voll mit Hacks Probleme, immer bedenken, PHP Grunkentnisse bekommen viele nicht hin, aber so ein Hack nach machen irgendwie schon.... |
Bearbeitet von DeeoNe am 04.07.2012 um 19:02
|
|
|
|
Mitglied
|
Nun um das zu verhindern, hättest du niemals auf die Lücke aufmerksam machen dürfen.
Wenn du das öffentlich wie hier machst, dann werden IMMER welche nach googeln wie ich gerade. Eigentlich wollte ich nur das Addon laden und mir die Datei s.php.mp3 anschauen.
Da die Datei nicht im Paket war habe ich bissl weiter geschaut und so kam das eine auf's andere.
Aber um so was zu finden, MUSS man Google benutzen können, einfach i.was da rein schreiben hilft nicht  Und auf der Seite die ich genannt habe, steht der Exploid nicht. |
|
|
|
Senior Mitglied
|
| DeeoNe Geschrieben am 04.07.2012 um 18:34 |
|
| Die s.php.mp3 ist doch nicht darbei Oo die gehört da nicht hin, wenn sie da ist sollte man die schnell löschen. |
|
|
|
Mitglied
|
Ja, das weiß ich nun auch xD
Aber erst nachdem ich gegooglet hab ;D |
|
|
|
Mitglied
|
| Rick Geschrieben am 04.07.2012 um 18:47 |
|
Zitat SuNflOw1991 schrieb:
Nun um das zu verhindern, hättest du niemals auf die Lücke aufmerksam machen dürfen.
Wenn du das öffentlich wie hier machst, dann werden IMMER welche nach googeln wie ich gerade. Eigentlich wollte ich nur das Addon laden und mir die Datei s.php.mp3 anschauen.
Da die Datei nicht im Paket war habe ich bissl weiter geschaut und so kam das eine auf's andere.
Aber um so was zu finden, MUSS man Google benutzen können, einfach i.was da rein schreiben hilft nicht Und auf der Seite die ich genannt habe, steht der Exploid nicht.
Warum sollte man die Leute nicht davor warnen? Es reicht doch schon wenn es eine Seite erwischt hat müssen doch nicht noch andere darunter leiden. Es geht ja auch nur um die upload.php die da dafür verwendet wird. |
LG
Rick
Man muss nicht alles wissen, sondern nur wissen, wo es steht 
|
|
|
|
Mitglied
|
Rick, du verstehst nicht.
Das war die Antwort auf Dee's Beitrag.
Klar sollte man die Leute warnen, aber "Ich wette die ersten Googeln danach -.-" ist natürlich wenn man so etwas öffentlich postet. Darauf wollte ich hinaus. |
|
|
|
Senior Mitglied
|
| DeeoNe Geschrieben am 04.07.2012 um 19:04 |
|
| Ist weg, besser ist das wie du sagst, wuste jetzt auch nicht was du wolltest. |
|
|
|
Mitglied
|
| Rick Geschrieben am 04.07.2012 um 20:34 |
|
Zitat SuNflOw1991 schrieb:
Rick, du verstehst nicht.
Das war die Antwort auf Dee's Beitrag.
Klar sollte man die Leute warnen, aber "Ich wette die ersten Googeln danach -.-" ist natürlich wenn man so etwas öffentlich postet. Darauf wollte ich hinaus.
Habe ich schon so verstanden,aber einer der sich damit auskennt brauch den Hinweis wohl nicht. Und hier ist schon zu viel bekannt gegeben wurden. |
LG
Rick
Man muss nicht alles wissen, sondern nur wissen, wo es steht
|
|
|
|
Senior Mitglied
|
| Layzee Geschrieben am 05.07.2012 um 07:24 |
|
Öffentliche Aufklärung ist durchaus erwünscht und sicherlich auch sinnvoll, auch dann wenn man "Gefahr" läuft dass man Anleitungen, HowTo's oder Tutorials findet.
Ich finds im Grunde traurig, dass jeder NooB und jeder Vollhonk in der Lage ist, Seiten zu "hacken", wenn es aber darum geht sinnvolle Änderungen vorzunehmen scheitern diese Leute oft an den einfachsten Befehlen/Routinen. Natürlich sollte man das Ganze so ernst wie nötig nehmen, aber auch nicht mehr daraus machen.
Die Tatsache, dass dieser "Hacker" aus Indonesien stammt und eine deutschsprachige Webseite "hackt" zeigt zwei Dinge:
1. es war kein "gezielter" Angriff, sprich es ging nicht gegen den Seitenbetreiber persönlich, sondern einfach nur darum, sich in der "Szene" Sternchen zu verdienen. Ich unterstelle diesem "Hacker" Unvermögen, denn zum Einen war die Seite über direkte Seitenaufrufe ohne Probleme weiterhin erreichbar, zum Anderen hätte er ganz andere Möglichkeiten gehabt (wenn er sie beherrscht hätte).
2. PHP-Fusion ist, wie jedes andere CMS, ein beliebtes "Angriffsziel", denn überall dort wo Uploads möglich sind, entstehen potenzielle Sicherheitslücken - und am Ende ist es dem Verursacher völlig wurscht, WELCHE Seite er angreift, hauptsache sein Tool funktioniert und sein Name steht am Ende auf dem Holder.
Nichts desto Trotz sollte man sich deswegen jetzt auch nicht total verrückt machen und bei Warnungen dieser Art entsprechend handeln.
Ausserdem möchte ich auch gern noch einmal wiederholen:
Die Coder von Addons und Erweiterungen sind hier in der Pflicht.
Aufgrund der nahezu schon unüberschaubaren Fülle an Addons und Mods ist es dem Entwicklerteam im Grunde garnicht möglich, jede einzelne Erweiterung auf Sicherheitslücken zu prüfen. Das kann nur der Coder selbst oder - wie in diesem Fall - die Community.
Kurze und direkte Aufklärungswege und konkrete Angaben helfen am Ende Schlimmeres zu verhindern und unsichere Addons bzw deren genutzte Funktionen zu erkennen und dann nachzubessern.
Krankheiten kann man nur bekämpfen wenn man deren Ursachen kennt, alles Andere wäre nur Symptombekämpfung. |
|
|
|
Jung Mitglied
|
| taker Geschrieben am 05.07.2012 um 07:32 |
|
| Im punkt dass die coder in der pflicht sind gebe ich dir recht jedoch das der hacker auy indien kommt ist nicht ganz gesagt wenn der jenige einen proxy genommen hat koennte er auch aus deutschland kommen dass kann msn dan nie genau sagen dass ist dann das prob |
|
|
|
Senior Mitglied
|
| Layzee Geschrieben am 05.07.2012 um 07:46 |
|
| Dass der Typ aus Indonesien stammt ist kein Geheimnis oder Spekulation, das steht so auf dem Holder (siehe Bild im ersten Post)... |
|
|
|
Mitglied
|
| Rick Geschrieben am 05.07.2012 um 09:42 |
|
LG
Rick
Man muss nicht alles wissen, sondern nur wissen, wo es steht
|
|
|
|
Senior Mitglied
|
| DeeoNe Geschrieben am 05.07.2012 um 14:24 |
|
Hinterhersuchen bringt nix, das ist eine Szene die sich im Netz überall tummelt.
Am ende hilft sich nur zu schützen in dem man das Loch Stopft oder ganz beseidigt.
Eigentlich wäre es mal Fair auch SoulSmasher zu Informieren, nur das Problem, soll diese URL sein:
http://www.soulsmasher.net/
Ich kann diese Sprache 0 und ich weiß nicht wo er noch so erreichbar ist und ob er auch Deutsch kann.
Ich habe noch nie mit Upload Scripten gearbeitet, daher kann ich auch keine Lösung direkt bieten, da ich nicht mal die Sicherheit Garantieren könnte dann.
Ich weiß nicht ob da ein if admin und checkrights reicht in dem Upload Script, mir ist das zu heikel da rum zu versuchen und nachher ist doch die Lücke noch da.
Ich meine in dem Script konnte man auch per FTP die Musik hochladen, dann würde auch das löschen der Upload.php nur reichen, aber ich kenne das Script kaum, daher rate ich vorerst das löschen der ganzen Infusion.
Wenn erstmal einer der Szene Anfängt weiß man nie, ob Sie dann weiter Fusion seite suchen mit dieser Infusion um sich auszutopen.
Ich kann da Layzee nur zustimmen, da hatte Rick nur Glück das die ihm nur die Index.php geändert haben, wenn der Hacker erfahrung hätte mit Coding dann hätte schlimmeres Passieren können.... |
|
|
|
Mitglied
|
Um das "sicher" zu machen, einfach
function upload_file aus includes/infusions_include.php nutzen |
|
|
|
Senior Mitglied
|
| Layzee Geschrieben am 06.07.2012 um 07:05 |
|
Richtig, genau das meinte ich als ich schrieb "[...]...die fusioneigenen Funktionen nutzen...[...]"
Trotzdem kann eine zusätzliche Validierung der Dateien nicht schaden. |
|
|
|
Senior Mitglied
|
| DeeoNe Geschrieben am 06.07.2012 um 10:53 |
|
Äm ok, fusion eigene function und validieren habe ich nun 2mal gelesen, aber wie das geht soll, weiß ich momentan nicht, da ich mich noch nie mit einer File Upload function gearbeitet habe.
Aber alternativ könnte ich noch Raten statt den mp3player zu löschen die upload.php zu löschen und nur die Files über den FTP in songs zu laden. |
Bearbeitet von DeeoNe am 06.07.2012 um 11:13
|
|
|
|
Mitglied
|
Anschauen wie das Ganze geht kannst du dir ab v7.02 in der submit.php in dem Bereich wo die User DLs einsenden können.
Ist genau das selbe quasi. Wobei eine if iADMIN Abfrage auch noch zusätzlich Sinn macht, weil ich denke mal es ist so gedacht, das nur der Admin Lieder hochladen darf?
Ich glaube dann wird das ganze aber etwas komplexer weil das AjaxScipt ja auch einen Error Handler braucht und so...
Vllt. will sich ja mal jemand dran setzen :-) |
|
|
