Hack? SQL Injection?

[Kenjin2002 0]

Hallo!

Heute Nacht um 00:30 hat ein User bei mir 3 Postings mit dem Eintrag r57ipbxplhohohoeval(include usw. gemacht. Ich poste den Rest mal nicht; denke ihr wisst auch so was gemeint ist...

Habe noch ein 2.0.3er Board mit Dragoran Portal-Mod.

- Was macht das Teil?

- Wie repariere ich die Schäden?

Bei meiner Suche habe ich nur was zu einem Perl-Script gefunden, das diesen Code als Fragment enthielt. Aber rein nur den Teil im Posting als "reinen" Text...

Danke im Vorraus für eure Hilfe.

Kenjin

[MacTV 0]

Ich hab mich mal schnell schlau gemacht,

Das ist der

Invision Power Board <= 2.1.5 (from_contact) SQL Injection Exploit vom 2006-05-01

## The bug is in the pm system so you must have a registered user.         ##

## The exploit will extract a password hash from the forum's data base of  ##

## the target user.                                                        ##

## You need to know the target user's member ID but it's not difficult to  ##

## find out, just look under their avatar next to one of their posts.      ##

## Once you have the hash, simply unset all forum cookies and set          ##

## member_id to the target user's member id and pass_hash to the hash      ##

## obtained from the database by this script.  

Also ein neuer Exploit / Hack

Mhhhh ... ob es da schon einen Patch gibt....

Edited May 6, 2006 by MacTV

[MacTV 0]

Und hier ist die HILFE

This post outlines the steps required to update your IPB 2.0.x or IPB 2.1.x for this security update.

If you've downloaded IPB 2.1.5 since the time of this post, there is no need to update your installation as the main download has been updated.

It has come to our attention that Invision Power Board 2.0.x and Invision Power Board 2.1.x contains potential vulnerabilities:

A bug in Internet Explorer 5.0+ which allows a JPEG image to be uploaded with a GIF header containing malicious HTML / javascript code. (IPB 2.1.x only)

Potential SQL injection

Potential arbitrary PHP code execution

forums.invisionpower.com

Edited May 6, 2006 by MacTV

[Kenjin2002 0]

Hmmm...

Die Postings von dem User sind bereits alle gelöscht - war ich evtl. wohl etwas zu voreilig. Allerdings hat der User aber auch kein Avatar gewählt.

Und sorry, aber das versteh ich irgendwie nicht ganz:

## You need to know the target user's member ID but it's not difficult to ##

## find out, just look under their avatar next to one of their posts. ##

## Once you have the hash, simply unset all forum cookies and set ##

## member_id to the target user's member id and pass_hash to the hash ##

## obtained from the database by this script.

Also, unter dem Avatar - sollte ein Hash-Wert stehen der identisch mit der ID des Zielusers ist. Soweit so (un)klar. Und wie jetzt weiter?

Kenjin

[MacTV 0]

Du mußt dringend das Update instalieren !

http://forums.invisionpower.com/index.php?showtopic=213374

[Kenjin2002 0]

Tschuldigung, eine Frage habe ich noch. Habe Dragorans Portal (1.4.6) installiert - Wenn ich das Board aktualisiere - Müssen dann der Portal-Mod und alle anderen Mods auch erneut installiert werden, oder komm ich so drumrum...? Wahrscheinlich zwar nicht, aber fragen kostet ja bekanntlich nichts...

In dem Falle würde ich nämlich das Board erstmal kurz Offline setzten...

Kenjin

[MacTV 0]

Normalerweise nicht ...

ich kann Dir aber darüber keine Auskunft geben, weil ich das 2er Board mit dem Portal nicht habe.

[Kenjin2002 0]

Ok, das Invision Power Board 2.0.x Update Package (3 Dateien) habe ich eingespielt. Allerdings läuft jetzt die Suchfunktion anscheinend nicht mehr:

Fatal error: Call to undefined function: clean_int_array() in /srv/www/htdocs/web1/html/forum/sources/search.php on line 83

Werde in den nächsten Tagen das Board generell uppen und auch den Portal-Mod von Dragoran aktualisieren. Oder taugt das Portal von IPB in der 2.1.X mittlerweile mehr?

Erstmal vielen, vielen Dank für die Hilfe.

Kenjin

Edited May 6, 2006 by Kenjin2002

[smurf 0]

Ok, das Invision Power Board 2.0.x Update Package (3 Dateien) habe ich eingespielt. Allerdings läuft jetzt die Suchfunktion anscheinend nicht mehr:

Fatal error: Call to undefined function: clean_int_array() in /srv/www/htdocs/web1/html/forum/sources/search.php on line 83

Oder taugt das Portal von IPB in der 2.1.X mittlerweile mehr?

Meine persönliche Meinung: nein

Bis zum update borge ich Dir "meine" search.php aus dem sources-Ordner. Update sollte soweit eingebaut sein, vorallem die Suchfunktion funktioniert.

Edited May 7, 2006 by smurf

[Stefan 0]

Ich finde das Portal von IPB eigentlich ganz gut, man muss nur ein paar Erweiterungen einpflegen. Bin eigentlich auch dabei, ein paar Zusatzplugins zu basteln

Kann sein, das ich demnach in nächster Zeit ein paar Tester brauche. Werde dies aber dann nochmal schreiben. :)

[Kenjin2002 0]

Vielen Dank smurf!

Werde ich sofort einspielen. Die aktuelle Search.php "funktioniert" nur, wenn man frisch auf die Seite geht. Wenn man etwas im Board unterwegs war: s.o.

Kenjin