Guten Morgen,
wenn ich das richtig sehe, gibt es anscheint ein Sicherheitsloch bei Mikroblogging-Dienst Twitter.com.

Ich habe von mehreren “Twitteruser” folgende persönliche Nachricht bekommen:

i lost excess fat with … http://loseweight… it works…

Die User haben aber diese Nachricht nicht selbst geschrieben und wenn man mal bei search.twitter.com sucht, findet man massig verwirrte Menschen. Die Nachricht enthält einen Webseitenlink, welchen man besser nicht klickt!

Jetzt ist die Frage, ob Twitter oder irgendein Clientprogramm / Apps (TweetDeck / Seesmic) einen Exploit hat.

Was ich an WordPress, seit einigen Monaten, so liebe?

ACTION angesagt!

In der neuesten WordPress Version 2.8.3 befindet sich schon wieder
eine Sicherheitslücke. (Was sonst?)

Eine Schwachstelle in der aktuellen Version 2.8.3 von WordPress und vorherigen Versionen lässt sich ausnutzen, um Administratoren temporär aus dem System auszusperren – dazu reicht ein Browser.

MEHR ZUM THEMA:

www.heise.de und www.stadt-bremerhaven.de

Soeben wurde WordPress 2.6.5 veröffentlicht. Diese Version ist ein Sicherheitsrelease (Details) und behebt einen schwerwiegenden XSS-Exploit, desweiteren wurden einige kleinere Probleme behoben.

SCHNELL SCHNELL

MEHR ZUM THEMA: blog.wordpress-deutschland.org

Dienstag 21:10 Uhr am Laptop…

Oder war da nicht mal was?

Was mir da so spanisch vorkommt, ist mal wieder nicht anders als ein Hackversuch auf meine Simple Machines Foren. Das Spiel kenne ich ja noch vom Sommer. Vom Prinzip her ist das immer dasselbe. Da wird ein neuer Hack entdeckt und massig Scriptkiddies stehen wie Zombies vor der Wohnung und wollen ins Haus (Forum).

Also, es gibt einen neuen Patch “SMF 1.1.7″ (seit 07.11.2008) für das Simple Machines Forum. Die Version SMF 1.1.6 kann mal wieder, Kinderleicht, mit ner billigen Remote Code Execution gehackt werden.

Tja, der Mac war nun knapp 12 Stunden damit beschäftigt, das Root Verzeichnis aufzuräumen!
Wieso?
Der böse Hacker, von gestern, ist doch wirklich bis in Rootverzeichnis von meinen Account gekommen und hat in jeder Domain (knapp 15 Stück) einen Hack abgesetzt bzw. ein (sehr geiles) Remote-Tool irgendwo hochgeladen, und somit durfte (kann) ich alle Dateien checken und aufräumen.

Mit dem Remote-Tool kann man alles machen … alles !
Naja….

Wenn man nichts zu tun hat ….

Danke ! für den ganzen Tag Arbeit!

Eine Domain muss ich noch räumen ….

Während wir am feieren sind (Deutschland / Türkei), hacken kleine Scriptkiddies sämtliche Simple Machines Forum mit der Version 1.1.4 in Deutschland. Darunter auch zwei Foren von mir. Als hätte ich nicht anders zu tun:

Seit dem 15.06.2008 gibt es für SMF1.1.4 ein Remote SQL Injection Exploit. Damit kann man ganz einfach auf jede Datei zugreifen.

Verändert wurden – “index.php” – “news_readme.html” und die “Settings.php”

Also updaten !!! – SMF 1.1.4 > SMF 1.1.5

MEHR ZUM THEMA: simplemachines.org

Jetzt kann ich die ganzen Dateien überprüfen, ob nicht irgendwo ein Script rumhängt und alle Passwörter ändern…

Besitzer der Domain, , ist jemand aus Amasya (Türkei), wobei ich nicht verstehe, wieso man bei einer COM-Domain nicht den vollen Namen und die Adresse angeben muss.

Mir wurde gerade berichtet, dass bei einem Bekannten das VWar 1.5.0 R14 gehacked wurde. Und wirklich seit dem 1o.o8.2oo6 kann man über die Datei > extra/online.php eine SQL Injection ausführen.

Hilfe gibt es hier: www.vwar.de

Soeben ist das WORDPRESS 2.0.3 erschienen, mit ihm auch der Sicherheitspatch, der den Exploit schliesst. (der in den letzen Woche für Schlagzeilen sorgte)

Durch eine Sicherheitslücke in dem Blog-System WordPress ist es registrierten Nutzern unter bestimmten Umständen möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausführen zu lassen. Außerdem können Kommentar- und Blog-Schreiber aufgrund eines Programmierfehlers in der Datei wp-includes/vars.php ihre IP-Adresse fälschen. Das auf der Sicherheits-Mailingliste Bugtraq veröffentlichte Advisory zu den beiden Schwachstellen hat die Form eines lauffähigen Exploits, mit dem Angreifer auf einem verwundbaren System eine Hintertür installieren können, die beliebige Shell-Befehle ausführt.

www.heise.de

MEHR ZUM THEMA: WORDPRESS 2.0.3: wordpress.org

Heute morgen wurde unser Joomla gehackt. Ich hatte die Version Joomla 1.0.7 auf meinen Sytem und wie ich gesehen habe gibt es seit dem 20-04-2006 nen Joomla < =1.0.7 Denial of Service Exploit.

Folgende Dateien wurden hochgeladen
r0nin – help.pl – help.php – botnet.txt – admin_view.php – 1.c

r0nin = Backdoor Programm
help.pl = ConnectBack Backdoor Shell
help.php = Die berümte r57shell.php
botnet.txt = ShellBOT
admin_view.php = ?
1.c = Linux kernel ptrace/kmod local root exploit

Soweit läuft nun wieder alles (inkl. Patch) und nun ist wieder alles auf dem alten Stand und ich hoffe mal, dass der Server nicht ein Backdoorprogramm ab bekommen hat.

Also PATCH 1.08 installieren !!! > www.joomlaos.de

Ich fasse noch einmal zusammen:

Über zwei Sicherheitslücken wurde bei uns am 01-02-2006 das Board angegriffen. Der Angreifer hat durch die Eingabe von

/index.php?act=portal&site=-999%20UNION%20SELECT%20substring(password,1,10),substring(password,11,20),substring(password,21,30)%20FROM%20tegib_members%20Where%20id=1/* HTTP/1.1" 200 34262 "-" "-"

Zugriff auf die Adminpasswörter gehabt und dadurch hat er dann die Skindatei verändert

Gleichzeitig hat er (das habe ich erst gestern bemerkt) eine get.php in das Verzeichnis html/emotions/ hochgeladen. In dieser Datei ist eine r57shell. Mit dieser Shell, welche 87,3 kb gross ist, hätte er dann Zugriff auf den kompletten Webspace haben können. Siehe auch Mambo gehackt.

Ich war zum Glück gerade im Forum und könnte die schneller unbennnen des Forum-Ordners und sofortiges ändern des SQL Passwortes schlimmeres verhindern.