Nederlandse sites slachtoffer misbruik PHP-Nuke gat
Gisteren schreven wij over een gat in de PHP-Nuke software, dat de laatste weken actief misbruikt wordt om websites te kraken. PHP-Nuke is een populair hulpmiddel om dynamische websites te bouwen. Vandaag kwam ons ter ore dat een drietal Nederlandse sites dat gebruik maakt van deze software gekraakt en beklad is. Het gaat om de Linux-site donald-duck.ele.tue.nl (archief), het reptielenportaal reptile.geeks.nl (archief) en de studentenstartpagina studentenstart.nl (archief). Een aantal sites is op het moment van schrijven nog niet hersteld maar uit de Google cache blijkt dat de sites van de PHP-Nuke software gebruik maken. We hopen niet dat ons artikel van gisteren mensen op het idee heeft gebracht, maar we voelen ons ook geenszins verantwoordelijk voor de kraken, aangezien het hier een lek betreft dat al bijna een maand geleden op de Bugtraq mailinglist gemeld is. Elke systeembeheerder zou, naast security.nl, deze lijst regelmatig moeten lezen om van de laatste beveiligingsfouten op de hoogte te blijven.
>gebracht, maar we voelen ons ook geenszins verantwoordelijk voor de
>kraken, aangezien het hier een lek betreft dat al bijna een maand geleden op
>de Bugtraq mailinglist gemeld is. Elke systeembeheerder zou, naast
>security.nl, deze lijst regelmatig moeten lezen om van de laatste
>beveiligingsfouten op de hoogte te blijven.
Ik denk niet dat security.nl mensen op het idee gebracht heeft :-) Bij securityfocus.com/bugtraq.org staat al een tijdje een uitgebreide beschrijving, en een exploit is snel gevonden voor de 'Sk1dd0 die echt wil.
En, ja, lees bugtraq, securityfocus, packetstorm, dshield etc etc..
Er lurkt nog meer evil voor de gemiddelde sysad, bestwel. PHPnuke is gewoon schot voor open doel geweest, is jammer maar helaas.
Ik zou me wel twee keer bedenken voor ik een third-party pakket installer voor m'n webverkeer, al helemaal als het 'exec()' of variant kan doen..
* sorry voor de crappy opmaak *
http://www.tweakers.net/nieuws/18875
Amerika is weer lekker bezig. Naar de aanslagen kennen ze geen privacy meer. Alles is terroristisch of iets in die trend.
Hopen dat de EU niet zo dom gaat reageren.
The lights are off, the one in control left...
XaNcE
URL = http://www.securityfocus.com/cgi-bin/archive.pl?id=1&mid=220378&start=2001-10-13&end=2001-10-19 ]
Message (copy):
Yes, i saw the code in phpnuke 5.2, and it's exactly the same, so this
probably happens in phpnuke too, so i suggest people to apply the fix
described by Magnus. The only difference is that phpnuke has a "prefix"
in the code, that postnuke uses with another name
PHPNuke en PostNuke zijn bagger. PHPnuke bestaat uit meerdere php scripts die 2 jaar geleden geschreven zijn en gewoon erin gepleurt worden zonder enige audit. FileManager is het grootste lek en daarna nog het UserManager systeem dat slechte MySQL statements gebruikt leidt tot 1 grote waanhoop. Er worden steeds fixes gemaakt maar nixz herschreven. De band wordt iedere keer geplakt totdat de 1ste lek nog een keer wordt geplakt en de band echt op is!
Advies: Schrijf gewoon je eigen Portal php scripts en copieer of jat geen scripts van anderen.
The lights are off, the one in control left...
XaNcE
>gebracht, maar we voelen ons ook geenszins verantwoordelijk voor de
>kraken, aangezien het hier een lek betreft dat al bijna een maand geleden op
>de Bugtraq mailinglist gemeld is. Elke systeembeheerder zou, naast
>security.nl, deze lijst regelmatig moeten lezen om van de laatste
>beveiligingsfouten op de hoogte te blijven.
Denk niet dat het lezers van deze site geweest zullen zijn, maar dan nog.. Het blijft inderdaad zaak om de laatste Exploits bij te houden!
Helaas was mijn collega beheerder vergeten de upload php code te verwijderen na een upgrade.. einde reptile.geeks.nl dus ;(
maar ach.. dat krijg je met dergelijke buggy software ;o) *hide*
grtz
HSmade
sysadmin geeks.nl
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.