Thread Verfasser: mahaga
Thread ID: 1162
Thread Info
Es gibt 4 Beiträge zu diesem Thema, und es wurde 3914 Mal angesehen.
 Thema drucken
Impressum Infusion wird massiv gehackt
mahaga
Hallo,
die Infusion Impressum wird massiv gehackt. Wir haben mit mehr als einem Dutzend Nutzer dieser Infusion Post vom Anwalt bekommen und sollen eine Unterlassungserklärung unterzeichnen und einen nicht unerheblichen Anwaltskostenanteil tragen. Wer ebenfalls betroffen ist melde sich bitte unter ebaymgt(at)gmail.com

Vielen Dank.

PS: Nagelt diesen Nagel an äh in die Wand. Betroffene wissen was ich meine......
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
John Doe
Um welche Impressum Infusion handelt es sich denn? Ich kenn aus dem Stehgreif 3 verschiedene.
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
Krelli
@mahaga:
Informiere dich erst einmal und prüfe deine Logs. Betreffender "Anwalt" ist nämlich schon mehrfach aktiv gewesen und ist komischerweise genau der, der unmittelbar vor der Abmahnung das Impressum selbst manipuliert hatte.
Vergleiche IP des Angreifers (POST Request auf die URL des Adminscriptes der Infusion in den Logs und den Quelltext der eMail mit der Abmahnung, enthalten beide mit hoher Wahrscheinlichkeit die gleiche IP).
Auch habe ich gehört, dass es diesen Anwalt überhaupt nicht geben soll, Name und Titel sind wohl erfunden.
Also erstmal informieren, sicherstellen und abklären bevor du zahlst oder irgendwas unterschreibst.

Ich weiß von einer Impressum-Infusion, deren Adminscript völlig ungeschützt ist.
Das ist kein "Hack" sondern grob nachlässige Programmierung des "Programmierers".

Man ruft im ausgeloggten Zustand das Formular zum Bearbeiten des Impressums einfach direkt auf und kann frei editieren, weil im Script keine Berechtigungs-Abfrage eingebaut ist.

Hier genügt es eigentlich, ziemlich am Anfang des Scriptes unmittelbar nach der Zeile mit dem Einbinden der "maincore.php" folgende Zeile hinzuzufügen:

if(!iADMIN) { die(); }

Nebenbei bemerkt: Wozu benötigt man dafür eine extra Infusion, wenn man sein Impressum auch mit einer "Eigenen Seite" unter "Inhalte" anlegen kann? Einmal abgespeichert ändert man dort so gut wie nie.
Eine solche Infusion überhaupt zu erstellen ist Schwachfug, mit der investierten Zeit hätte man besser was brauchbareres erstellt.
Naja, Hauptsache der Entwickler hat endlich mal etwas mit eigenen Copyright-Hinweis verteilt, selbst wenn eine gravierende Sicherheitslücke enthalten ist.

EDIT:
Erst hinterher bemerkt, dass ich einen Thread erwischt habe, der schon Staub ansetzt. Trotzdem für den einen oder anderen vll. noch hilfreich :)
Bearbeitet von Krelli am 18. April 2017 16:03:14
Information:
PHP Version: 8.2.x •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: IPv9-DE-MOD
 
John Doe
Die betreffende Infusion wurde auf allen mir bekannten PHP-Fusion Plattformen seinerzeit als Sicherheitslücke deklariert und es wurde öffentlich davor gewarnt, diese Infusion zu nutzen.

Solche Dinge passieren, wenn Supportseitenbetreiber solche Warnungen ignorieren und solche Infusionen weiterhin (ungefixt) im DL-Bereich anbieten.

Davon abgesehen sollte man sich aber auch als Nutzer die Frage stellen, welche Infusionen man wirklich braucht. Wie Krelli schon richtig sagte, ist so ein Impressum mit einer eigenen Seite mindestens genauso schnell erstellt. Auf privat betriebenen Supportseiten übernimmt niemand die Haftung für defekte oder unsichere Downloads. Darüber sollte man sich dringend im Klaren sein. Downloads und deren Nutzung erfolgen immer auf eigene Gefahr. Deshalb sollte es auch im eigenen Interesse sein, sich nicht jeden "Mist" zu installieren.
Dieses Mitglied wurde gelöscht!
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
Springe ins Forum: