SQL - Injection

[thor_pfosten]

Hallo,

auf unserem Linux Server betreiben wir eine Moodle Plattform.
Das ist kurz gesagt eine PHP/MySQL-basierte Learning Plattform.
Wird sind jetzt von vulnweb angegriffen worden. Man hat über eine
SQL-Injection User angelegt, wahrscheinlich um den Authentifizierungsprozeß
zu umgehen. Die User heißen in der DB z.B.

gui74f5qd | |
| http://some-inexistent-website.acu/some ... _name?.jpg | |
| '" | |
| set|set&set | |
| ;print(md5(security_test)); | |
| index.php | |
| ) | |
| 1some_inexistent_file_with_long_name%00.jpg | |
| 'fvb588hk9 | |
| http://testasp.vulnweb.com/t/fit.txt | |
| <!-- | |
| http://testasp.vulnweb.com/t/fit.txt%3f.jpg | |
| ';print(md5(security_test));$a=' | |
| ../../../../../../../../../../etc/passwd | |
| testasp.vulnweb.com | |
| 'set|set&set' | |
| !(()&&!|*|*| | |
| "zq86m240n | |
| ";print(md5(security_test));$a=" | |
| ../../../../../../../../../../../../../../../proc/version | |
| "set|set&set" | |
| ${@print(md5(security_test))} | |
| ..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd%00.jpg | |
| ^(#$!@#$)(()))****** | |
| ../../../../../../../../../../etc/passwd%00.jpg | |
| ${@print(md5(security_test))}\ | |
| `set|set&set` | |
| ;set|set&set;

Könnt ihr mir sagen, wie man hier für Schutz sorgen kann ?
Gibt es Möglichkeiten, Lücken zu überprüfen ?
Vorschläge wären super !

Viele Grüße
Thor

[jan10001]

- Linux System regelmäßig updaten
- Software regelmässige updaten (z.B. Moodle Plattform)
- Systemeinstellungen und Rechte entsprechend setzen
- selbstgeschriebene PHP, Perl usw. Scripte auf Sicherheitslücken überprüfen
- Firewall entsprechend konfigurieren

Und zum Schluß, nicht erwarten das wir hellsehen können und wissen welches Linux bei euch installiert ist.

[Joe User]

Interessant wäre zu wissen, wie die jeweiligen Rows heissen, zu denen die oben geposteten Daten gehören. Dann könnte man den zugehörigen Security-Bug leichter identifizieren, insbesondere wenn er ausnahmsweise als solcher auf https://moodle.org/mod/forum/view.php?f=996&showall=1 und/oder https://www.cvedetails.com/vulnerabilit ... oodle.html dokumentiert ist. Ist er das nicht, wurde er entweder heimlich gefixt, oder er ist den Moodle-Devs noch nicht bekannt.

Egal wie, solange nicht die aktuellste Moodle-Version (derzeit MOODLE_32_STABLE) und die jeweils aktuellsten Extensons/Modules und Themes verwendet werden, wird sich vermutlich eh kaum jemand um einen Bugfix bemühen.


Um künftig potentielle SQL-Injections grob abwehren zu können, kann man eine Application Firewall ala mod_security einsetzen, aber auch das hilft nur bedingt.

BTW: Dieser Fall ist nicht zwingend eine SQL-Injection, es könnte auch eine simple File- beziehungsweise Code-Injection sein.

[thor_pfosten]

Hallo,

krankheitsbedingt möchte ich mich hiermit verspätet
für eure schnelle und gezielte Hilfe bedanken!
Das sind alles zielführende Ansätze.

VG
Thor

[thor_pfosten]

HI nochmal,

also die oben geposteten Daten kommen ausschließlich aus der Spalte
"username" der Tabelle "mdl_user". Wenn ihr mir da nochmal helfen
könntet, den zugehörigen Security-Bug zu identifizieren wäre das klasse!

Wahrscheinlich ist es auch ratsam, seine Seite bei Moodle registrieren zu lassen
und "Security-Updates" zu abonnieren.

Besten Dank im Voraus!
Thor