Lieber Klaus, liebe Kollegin, lieber Kollege
Hier mal ein Zwischenbericht wegen den lustigen Zombies. Der Hacker Programiix hat verraten, wie er das spip überlistet:
Keine Ahnung, wie der Typ auf diesen String kommt. Wenn man da raufklickt, kommt die Möglichkeit, sich als Autor einzuloggen:
z.B. Mit Theo Schaffner (fiktives Beispiel). Dann kommt:
- Quartierzeitung Mozaik
Warning: Illegal string offset ‹ id_auteur › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php on line 216
Warning: Illegal string offset ‹ nom › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/modifier.php on line 258
Warning: Illegal string offset ‹ id_auteur › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php on line 225
Warning: Illegal string offset ‹ nom › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/modifier.php on line 258
Warning: Illegal string offset ‹ nom › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/modifier.php on line 258
Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php:216) in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/actions.php on line 89
Ihre neuen Zugangsdaten wurden Ihnen per Mail zugestellt.
- Im Email-Konto kommt dann
Hallo Theo Schaffner,
Bitte öffnen sie folgenden URL zum Bestätigen ihrer Maiadresse:
http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo%40lampenwerk.ch&jeton=500079018548c2b71(usw.)
Hier sind Ihre Zugangsdaten um Artikel für die Website « Quartierzeitung
Mozaik » (http://mozaikzeitung.ch/spip/ecrire/) vorzuschlagen:
- Login: theo@lampenwerk.ch
- Passwort: 1234abcd (fiktiv)
- Klickt man auf den Link, wird man aktiviert.
Dann ist man im System und hat Administratoren-Rechte. Deshalb:
5. Ich rate Euch allen, bei der Konfiguration (Interaktivität) das:
Automatische Anmeldung neuer Redakteure vom öffentlichen Bereich aus
zu deaktivieren (Anmeldungen verhindern Button anklicken!)
Die Leute bekommen anscheinend automatisch Administrations-Rechte und nicht Besucher-Status.
Wenn man intern Besucher anmeldet, ist alles okay, dort bekommen die Eingetragenen Redakteuren-Rechte und nicht Admin-Rechte.
Meine Frage: Handelt es sich um die bekannte Formular-Verwundbarkeit?
Ich werde jetzt mal das System von 3.0.5 auf 3.0.17 updaten und hoffen, dass damit die Formular-Verwundbarkeit ausgemerzt ist. Natürlich habe ich auch, gemäss Anweisung von Klaus, alle Passwörter nochmals gewechselt, den Shelldetektor laufen lassen (negativ) den Parasiten-Detektor laufen lassen (negativ). Habe auch alles unnötige Zeug gelöscht (Dateien, User, usw.) Die Site läuft auf einem Reseller-Account, ich denke, dort werden die Hausaufgaben gemacht, ich gebe dort eine tiefe Priorität, was Hackmöglichkeiten anlangt.
Wenn es sich NICHT um die Formular-Verwundbarkeit handelt, wie fixen wir das Loch so schnell wie möglich? Mit dieser Frage habe ich mich jetzt noch nicht vertieft befasst. Ist das überhaupt ein Loch? Jedenfalls: Die öffentlichen Redakteure sollten Besucher-Status erhalten und nicht publizieren dürfen.
Was meinst Du, Klaus, bist Du mit dieser Analyse soweit einverstanden?
Liebe Grüsse und wie immer grossen und herzlichen Dank für die Hilfe
Nicholas