Code Injection: Da ist was faul! II

[BerndJM]

Mmmh. chios letzter Absatz gefällt mir sehr gut,
passiert mir doch das gleiche (immer wieder) allerdings auf einer anderen - rein technisch/handwerklichen Ebene.

Aber darf ich vielleicht noch mal auf mein Argument hinweisen:
"Ist es überhaupt WB ? oder ist es nur eine mistige Serverkonfiguration?"

Letztendlich können wir uns hier den "Kopf heiß diskutieren" über (un)mögliche Sicherheitslücken in WB, wenn es letztendlich an einer Server/PHP/oder wie auch immer Konfiguration liegt, die WB überhaupt nicht zu verantworten hat!

Deshalb Infos sammel (auch "unterhalb") der WB-Installation und auswerten!

Grüßle Bernd

[instantflorian]

Hallo,

Warum macht nicht jemand (der's kann) ein kleines Tool, das sofort eine Warnung ausgibt (oder ein Mail an den Admin sendet), sobald bestimmte Dateien nicht mehr wie erwartet aussehen?

das fänd' ich gut. Es müsste mindestens die config.php und die index.php im Root, die index.php(s) der verwendeten Vorlage(n) und die Accessfiles (<dau>sind das die unter /pages/? </dau>) im Auge behalten.
Frage ist nur, einerseits wie (die meisten werden technisch bzw. kognitiv nicht die Möglichkeit haben, cronjobs einzurichten, mich eingeschlossen) und andererseits wie die Benachrichtigung erfolgen soll.

Grüße
-instantflorian.

<offtopic>
Huch, das Forum rödelt wohl auch gerade im roten Bereich... hatte jetzt 3x connection problems
</offtopic>

[Hans>NULL]

@Waldschwein
Mit Acunetix und anderem Daddelkram hat das nichts zu tun.
Also nicht so weit aus'm Fenster...
@doc

ist mit verlaub gesagt ziemlich armselig

Naja , wenn das selbe Pack immer die gleichen Angriffe startet, kann als Reaktion darauf nicht viel anderes kommen.
Gruß, Hans>NUL

[joa]

Kleine Anmerkung: Dieses ominöse Kalendermodul ist aber nicht zufällig http://slink2.no-ip.info/wbtest/pages/calendars/event-calendar.php ? Weil hier hat einer der Scanner schon im Frühjahr 2008 XSS entdeckt, vor einer Woche immer noch.

Nein, wie beschrieben, das war kein Modul, sondern ein ausserhalb der WB-Installation laufendes Pearl-Script, dessen Ergebnis-Seite (.php) - die Kalendereintraege - dann von Inline Wrapper im oeffentlichen Teil der WB-Installation angezeigt wurde.

http://www.me vi n DOT c om/downloads/basic_events_lister.php

Und bevor die Frage kommt: nein, bei/mit diesem Script wurden keine Admin-Infos der WB-Installation (Master-PW usw.) verwendet, die haetten fuer diesen Angriff verwendet werden koennen.

Was das von Dir erwaehnte Kalendermodul betrifft, ich kann ausschliessen, dass das - inaktiv - noch als Modul installiert war (war ja gestern die Liste durchgegangen). Kann NICHT ausschliessen, dass ich's als moeglichen Kalendar (fuer 5 Minuten) getestet, und wieder verworfen, habe - hatte allle moeglichen WB-Kalender-Module angeschaut.

[WebBird]

WAH...! PERL, es heißt PERL, nicht Pe_a_rl.

[joa]

WAH...! PERL, es heißt PERL, nicht Pe_a_rl.

Ich schreib' ja normalerweise "cgi script". Sorry, Larry W., kommt nicht wieder vor 

[Hans>NULL]

Damit es weiterhin lustig bleibt: cgi ist nicht perl  (kann u.a.)
Gruäzili (eben mal Erbsen gezählt  )

[WebBird]

Jo. CGI ist eine Schnittstelle.

[joa]

Damit es weiterhin lustig bleibt: cgi ist nicht perl  (kann u.a.)
Gruäzili (eben mal Erbsen gezählt  )

Gut gegeben...

[chio]

Ein kleiner Querverweis:
http://www.websitebaker2.org/forum/index.php/topic,17397.msg115051.html#msg115051

[WebBird]

Nice...