Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Lexa


    danke für den Hinweis..... auch wenn ich diese Version auf dem betroffenen Server nicht verwende, habe ich es an den Provider weitergegeben um dies zu prüfen.


    @Dateninspektor


    Ich weis garnicht, was diese abfälligen Anspielungen sollen. Wenn Du mehrere Kundenserver betreiben würdest, wärst Du dann nicht an einer Lösung interessiert?


    Alexander Ebert


    Ich habe in keinster Weise solche Behauptungen aufgestellt oder diese angekündigt. Im Gegenteil..... ich habe sogar behauptet, dass ich die Software für die derzeit beste auf dem Markt halte.
    Was mich ein wenig stört ist wenn jemand (nicht Du) strikt behauptet es können nicht an der Software liegen! Wenn man nach einer möglichen Schwachstelle sucht muß man alle Aspekte berücksichtigen.


    Kannst Du Alexander mir zu 100 % versichern, dass die Software (welche ich noch nicht mals meinte.... meine Vermutung ging zu den Plugins) bzw. die Plugins absolut sicher sind!?
    Nein, ich möchte garkeine Antwort aufdiese Frage. Es ist nur unlogisch die Software bei der Fehlersuche aussen vor zu lassen. Wenn aber kein Interesse daran besteht, die Schwachstelle (woher Sie auch kommt) aufzudecken und somit andere Nutzer davor zu schützen, dann werde ich halt keine Ergebnisse mehr darüber posten.


    Ich wollte lediglich ein Problem erörtern um eventuell gemeinsam eine Lösung zu erarbeiten...... ich dachte, dafür ist ein solches Forum da.


    Thema kann wohl geschlossen werden

  • Black Rider - da bei ihm PHP im CGI-Modus läuft reicht dies vollkommen aus. Habe ich bei mir auch so.

    Deshalb schrieb ich auch "in den seltensten Fällen". Der CGI-Modus wird verhältnismäßig selten genutzt und noch seltener sind Apache- und FTP-Benutzer dieselben.

    • Official Post

    Bis zur vollständigen Klärung der Schwachstelle, werden wir weder für das von uns eingesezte Shopsystem noch für die Forensoftware / deren Plugins weitere Empfehlungen an unsere Kunden aussprechen.


    Ich habe in keinster Weise solche Behauptungen aufgestellt oder diese angekündigt. […]


    Die oben zitierte Aussage lässt einige Schlussfolgerungen zu, die nicht unbedingt mit deiner Aussage korrelieren. Ich möchte betonen, dass ich dies zu keinem Zeitpunkt unterstellt habe, lediglich auf Grund der - für mich unklaren - Formulierung vor unbedachten Aussagen warnen möchte :)


    Wenn man nach einer möglichen Schwachstelle sucht muß man alle Aspekte berücksichtigen.


    In diesem Punkt sind unsere beider Ansichten deckungsgleich.


    Kannst Du Alexander mir zu 100 % versichern, dass die Software (welche ich noch nicht mals meinte.... meine Vermutung ging zu den Plugins) bzw. die Plugins absolut sicher sind!?


    Ich möchte an diesem Punkt die rhetorische Frage dennoch beantworten: Natürlich kann das niemand versichern, jedoch lässt sich das Risiko durch ein vernünftiges Softwaredesign als auch eine sorgfältige Entwicklung und Prüfung auf ein Minimum reduzieren. Seit der Veröffentlichung von Burning Board 3.0 (vor über 4 Jahren) gab es nur eine handvoll Sicherheitslücken, die letzte Lücke liegt schon sehr lange [*] zurück.


    Ich wollte lediglich ein Problem erörtern um eventuell gemeinsam eine Lösung zu erarbeiten...... ich dachte, dafür ist ein solches Forum da.


    Das hat niemand abgestritten, im Gegenteil: Es wurde sogar aktive Hilfe angeboten, in dem beispielsweise auf einen sehr veralteten FTP-Server hingewiesen wurde. Die meisten Personen die sich an dieser Diskussion beteiligen sind durchaus bekannte Mitglieder, die auch in der Vergangenheit ihre Hilfsbereitschaft gezeigt haben. Vielleicht wird der Tonfall manchmal in der Hitze des Gefechts etwas gröber, ich würde trotzdem nicht jedes Wort auf die Goldwaage legen - im Endeffekt sind trotzdem alle Beteiligten an einer Problemlösung interessiert :)


    [*] Es gibt eine jüngere Meldung die auf einen "Path disclosure" hinweist, jedoch keine Sicherheitslücke darstellt. Ohne direkten Zugriff sind die damit gewonnen Informationen nutzlos und bei einem direkten Zugriff auf das System lassen sich die selben Information sehr viel einfacher erlangen - realistisch betrachtet ist es jedoch nur unschön, aber keine Lücke.


  • Ich habe im groben den Sourcecode überflogen und kann keine Auffälligkeiten entdecken.


    Aber ich würde empfehlen die Datei wieder zu entfernen, das es sich hier um einen geschützten Inhalt handelt.

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))

  • kann es sein, dass die search PHP von Weisshart ist?


    Zur Info: Das Suchscript von Weisshart ist komplett base64 codiert, um das illegale entfernen der sichtbaren Copyrighthinweise zu erschweren. Es enthält daher tatsächlich einen dementsprechenden Tag, aber keinen Schadcode.


    Ich habe dieses Script vor einigen Jahren mal für eine bekannte Chinchillahomepage angepasst. War das ein Spass... :D

    wbb3addons.de - Plugins für das WoltLab Burning Board und das WoltLab Community Framework